インシデントの検証
インシデントが報告された場合、ドキュメンテーションを即時に収集して検証される必要があります。
このドキュメンテーションには、以下の情報が含まれている必要があります。
- インシデントが発生した時刻と場所。
- ソース。これは 1 次 LU と 2 次 LU の論理装置 (LU) 名です。 セッションが TELNET セッションである場合、ソースには 2 次 LU の IP アドレスも含まれます。
- 使用されていたアプリケーションの名前およびタイプ。可能な場合、実行されたトランザクション。
- 2 次 LU の PU、LINE、およびメジャー・ノードの名前 (該当する場合)。
- データのパターンがこのインシデントに存在しているかどうかを判別するために収集する必要がある、追加のトレース・データ。
例
IST2424I 3270 DATA STREAM ERROR - NETA.TSO0002 NETA.TCPM0001
IST2425I PLU SUBAREA = X'0001' INDEX = X'0000' ELEMENT = X'0058'
IST2425I SLU SUBAREA = X'0001' INDEX = X'0001' ELEMENT = X'0009'
IST2441I JOBNAME = JHACKER SID = EAABEEC331E8DB02
IST2426I IPADDR = 192.168.98.254..61691
IST2427I DATE = 2016/01/25 TIME = 15:47:56 ID = 1
IST2428I ROW = 9 COLUMN = 16
IST2429I OUTBOUND - SEQ = X'0001' OFF = 598 LEN = 39
IST2431I 40404040 40404040 D1C1C3D2 E2D6D540 * JACKSON *
IST2430I INBOUND - SEQ = X'0001' OFF = 284 LEN = 39
IST2431I 40404040 40404040 F1F2F3F4 F5F6F7F8 * 12345678*
IST314I END- このインシデントの日時は、メッセージ IST2427I および定様式トレース・データで特定できます。
ID はこのインシデントの固有 ID を示し、VTAM® が開始して以降の最初の ID です。
IST2427I DATE = 2016/01/25 TIME = 15:47:56 ID = 1 - 2 次 LU は、メッセージ IST2424I 内で NETA.TCPM0001 と示されています。
以下の情報はこの LU を表示します。
メッセージ IST271I は、この LU が、TELNET という名前のジョブが開くアプリケーションであることを示しています。
メッセージ IST1727I および IST1669I は、ユーザーのドメイン・サービス名および IP アドレスを示しています。
注: TCPM0001 は 2 次 LU として機能するアプリケーションであり、3270 IDS モニター用にはサポートされません。
IST2424I 3270 DATA STREAM ERROR - NETA.TSO0002 NETA.TCPM0001 d net,id=NETA.TCPM0001 IST097I DISPLAY ACCEPTED IST075I NAME = NETA.TCPM0001, TYPE = DYNAMIC APPL 456 … IST231I APPL MAJOR NODE = TCPAPPLS IST271I JOBNAME = TELNET, STEPNAME = TELNET, DSPNAME = IST19405 … IST1727I DNS NAME: JOEHACKER.FARFARAWAY.EXAMPLE.COM IST1669I IPADDR..PORT 192.168.98.254..61691 IST171I ACTIVE SESSIONS = 0000000001, SESSION REQUESTS = 0000000000 IST206I SESSIONS: IST634I NAME STATUS SID SEND RECV VR TP NETID IST635I TSO10002 ACTIV-P EAABEEC331E8DB02 0004 0009 NETA IST314I END - PLU アプリケーションの名前は TSO0002 です。
このユーザーは TSO にログオンします。
以下の情報はアプリケーション情報を表示します。
メッセージ IST271I は TSO ユーザー ID を表示します。
メッセージ IST2433I および IST2434I は、アプリケーション 3270 IDS パラメーター値を表示します。
メッセージ IST2435I では、3270 IDS データ・ストリーム・エラーが発生したことを確認します。
IST2424I 3270 DATA STREAM ERROR - NETA.TSO0002 NETA.TCPM0001 D NET,ID=TSO0002,E IST097I DISPLAY ACCEPTED IST075I NAME = TSO0002, TYPE = APPL 479 IST486I STATUS= ACT/S, DESIRED STATE= ACTIV … IST231I APPL MAJOR NODE = TSO1A IST213I ACBNAME FOR ID = TSO10002 … IST271I JOBNAME = JHACKER, STEPNAME = OS390R5, DSPNAME = IST71E8A … IST2433I DSMONITR = YES, DSCOUNT = 15, DSACTION = (CONSOLE,NONE) IST2434I DSTRUST = LOCALLU IST2435I SESSIONS MONITORED = 1, ERRORS DETECTED = 1 IST171I ACTIVE SESSIONS = 0000000001, SESSION REQUESTS = 0000000000 IST206I SESSIONS: IST634I NAME STATUS SID SEND RECV VR TP NETID IST635I TCPM0001 ACTIV/E-S EAABEEC331E8DB02 0009 0004 NETA IST314I END D NET,TSOUSER,ID=JHACKER IST097I DISPLAY ACCEPTED IST075I NAME = JHACKER, TYPE = TSO USERID 623 IST486I STATUS= ACTIV, DESIRED STATE= N/A IST576I TSO TRACE = OFF IST262I ACBNAME = TSO0002, STATUS = ACT/S IST262I LUNAME = TCPM0001, STATUS = ACT/S IST1727I DNS NAME: JOEHACKER.FARFARAWAY.EXAMPLE.COM IST1669I IPADDR..PORT 192.168.98.254..61691 IST2203I CHARACTER SET 02B9 - CODE PAGE 0417 IST314I END D A,JHACKER IEE115I 15.58.22 2016.025 ACTIVITY 638 JOBS M/S TS USERS SYSAS INITS ACTIVE/MAX VTAM OAS 00000 00011 00002 00033 00003 00002/00300 00004 JHACKER OWT A=0025 PER=NO SMC=000 PGN=N/A DMN=N/A AFF=NONE CT=000.032S ET=01.04.21 WUID=TSU00029 WKL=TSO SCL=TSO P=1 RGP=N/A SRVR=NO QSC=NO ADDR SPACE ASTE=1EFD6940 - 2 次 LU の情報で、PU、LINE、およびメジャー・ノードを識別できる場合があります。
この例では、PU、LINE、およびメジャー・ノードの情報は入手できません。
ただし、TCPIP コマンドの NSLOOKUP および TRACERTE を使用して、2 次 LU の ID とロケーションを確認できます。
router206 に関する情報は、おおよそのロケーションを示します。
TCPIP コマンドについて詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。
nslookup 192.168.98.254 EZB3170I Server: dns.example.com EZB3172I Address: 192.168.100.4 EZB3170I Name: joehacker.farfaraway.example.com EZB3172I Address: 192.168.98.254 READY tracerte 192.168.98.254 CS V2R1: Traceroute to 192.168.98.254 (192.168.98.254) 1router65
.faraway.example.com (192.168.105.65) 2 ms 0 ms 0 ms
2 router1.faraway.example.com (10.6.0.1) 1 ms 0 ms 0 ms
3 router41a.faraway.example.com (192.168.120.41) 0 ms 0 ms 0 ms
4 routeredge201.faraway.example.com (192.168.106.201) 0 ms 0 ms
5 router1a.farfaraway.example.com (192.168.184.1) 15 ms 18 ms 21 ms
6 router8.faraaway.example.com (192.168.34.8) 12 ms
7 router208.faraaway.example.com (192.168.106.208) 2 ms 9 ms 11 ms
8 router12.faraaway.example.com (192.168.96.120) 7 ms 12 ms 10 ms
9 joehacker.farfaraway.example.com (192.168.98.254) 2 ms 2 ms 1 ms
READY - TCPIP Netstat コマンドを使用して、接続が開始された時刻を表示できます。
TCPIP コマンドについて詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。
ヒント:IP セッションに関する情報は、タイプ 119 SMF レコードに記録されます。
サブタイプ 1 および 2 には、TCP 接続に関する情報が含まれます。
サブタイプ 21 および 22 には、TELNET 接続に関する情報が含まれます。
TSO セッションの場合、タイプ 30 レコードには、TSO ユーザーに関する情報が含まれます。netstat all (port 55516 MVS TCP/IP NETSTAT CS V2R1 TCPIP Name: TCPCS 20:57:34 Client Name: TELNET Client Id: 00000024 Local Socket: ::ffff:192.168.105.112..23 Foreign Socket: ::ffff:192.168.98.254..61691 BytesIn: 00000000000000002422 BytesOut: 00000000000000009580 SegmentsIn: 00000000000000000247 SegmentsOut: 00000000000000000320 StartDate: 01/25/2016 StartTime: 17:33:56 Last Touched: 20:47:56 State: Establsh … Application Data: EZBTNSRV TCPM0001 TSO10002 ET B ---- READY - IST2428I から IST2431I へのメッセージについての以下の情報は、3270 データ・ストリームのオーバーレイを示します。
3270 ディスプレイ・バッファーの行 9 および列 16 あたりで、文字列 JACKSON を含むフィールドは文字列 12345678 によって置き換えられます。
メッセージ IST2429I および IST2430I は、フィールドがある各 PIU を示しています。
IST2428I ROW = 9 COLUMN = 16 IST2429I OUTBOUND - SEQ = X'0001' OFF = 598 LEN = 39 IST2431I 40404040 40404040 D1C1C3D2 E2D6D540 * JACKSON * IST2430I INBOUND - SEQ = X'0001' OFF = 284 LEN = 39 IST2431I 40404040 40404040 F1F2F3F4 F5F6F7F8 * 12345678*ヒント: メッセージ IST2431I は、ローの 3270 データ・ストリームの一部を示しています。これにはさまざまな 3270 オーダーが含まれる場合があります。 フィールド開始オーダー (x'1D') の存在は、フィールド属性がオーバーレイされていることを示している場合があります。これによりインシデント・レポートが作成される場合があります。 別のオーダーは、フィールド開始拡張 (x'29') です。 3270 データ・ストリームの詳細については、「3270 Data Stream Programmer's Reference」を参照してください。 - 以下の汎用トレース機能 (GTF) トレース・データは、バッファーについての情報を示しています。
シーケンスが繰り返されるかどうかを確認するには、VTAM バッファーの追加のトレースを開始します。
TCPIP パケット・トレース・データも収集可能です。
TCPIP パケット・トレース・フォーマッターの TELNET オプションは、3270 データ・ストリーム・オーダーを表示するために使用できます。
TCPIP パケット・トレースについて詳しくは、「z/OS Communications Server: IP Diagnosis Guide」を参照してください。
(11)VTAM TH=40000000 00000000 00010001 00000001 1800000B 00580001 051F RH=0380C0 (12) SEQ 0001-0001 F5C21140 402901C0 40F4F040 40E44040 40404040 *5B. ..{ 40 U * 404040C3 C8D9C9E2 E3C9C1D5 40404040 40404008 * CHRISTIAN .* … 114DC829 01C0E9C5 F94040D7 40C8E240 40D44040 *.(H..{ZE9 P HS M * 40D4C1E2 D6D54040 40404040 40404011 4DF02901 * MASON .(0..* C06CF6C3 4040D740 4040C940 40404040 D1C1C3D2 *{%6C P I JACK* E2D6D540 40404040 40404040 114ED829 01C06DF6 *SON .+Q..{_6* … 40404040 40404040 40C8C5E7 E2E3D9C9 D5C74DF0 * HEXSTRING(0* F05D4011 5D7E1D60 *0) .)=.- * (11)VTAM TH=40000000 00000000 00000001 00010001 1C000058 000B0001 0298 RH=0393A0 (12) SEQ 0001-0001 7D4AD811 40E9C3F1 4040E440 40404040 D4404040 *'¢Q. ZC1 U M * C1D3C5E7 E8E24040 40404040 40404040 11C1F9C3 *ALEXYS .A9C* F54040E4 4040E240 40D44040 40D4C1E2 D6D54040 *5 U S M MASON * 40404040 40404040 4011C3C9 C3F94040 E440C8E2 * .CIC9 U HS* … 40E4D540 40C940D4 404040D4 C1E2D6D5 40404040 * UN I M MASON * 40404040 40404011 4AC1F6F0 4040D740 40404040 * .¢A60 P * 40404040 F1F2F3F4 F5F6F7F8 F9404040 40404040 * 123456789 * 114AE9F6 F14040D7 40404040 40D44040 40D4C1C4 *.¢Z61 P M MAD* C9E2D6D5 40404040 40404040 40114BF9 C5F54040 *ISON ..9E5 * … C8C540E5 C1D3E4C5 40E3D67A 40404040 40404040 *HE VALUE TO: * 40404040 404040C8 C5E7E2E3 D9C9D5C7 4DF0F05D * HEXSTRING(00)* 40 * *