DISPLAY_JOURNAL 表格函數

線上編輯

DISPLAY_JOURNAL 表格函數會傳回日誌登載項目的相關資訊。它會傳回類似「顯示異動日誌 (DSPJRN)」CL 指令及「擷取異動日誌項目」(QjoRetrieveJournalEntries) 所傳回的資訊。 API。

授權:

呼叫者必須具有異動日誌的 *USE 權限，以及包含異動日誌之檔案庫的 *EXECUTE 權限。
呼叫者必須對每個所要求的異動日誌接收器具有 *USE 權限，以及對包含異動日誌接收器的檔案庫具有 *EXECUTE 權限。
如果省略 object-name ，或 object-name 指定不再存在的物件，則異動日誌需要 *OBJEXIST 權限。
如果 object-name 為 *ALL ，則呼叫者必須獲得與異動日誌項目相關聯的每個物件的授權。
- 對於 QSYS 檔案系統中的物件，呼叫程式必須具有:
  - 物件的 *USE 權限，以及
  - 對包含物件之檔案庫的 *EXECUTE 權限。
- 對於整合檔案系統中的物件，呼叫者必須具有:
  - *R 代表物件
  - *X 代表物件路徑中的每個目錄。

綱目為 QSYS2。

異動日誌檔案庫

識別包含異動日誌之檔案庫名稱的字元或圖形字串表示式。名稱不能是 *LIBL 或 *CURLIB。

日誌登載名稱

識別異動日誌名稱的字元或圖形字串表示式。

receiver-library

識別起始異動日誌接收器檔案庫名稱的字元或圖形字串表示式。名稱可以是 *LIBL 或 *CURLIB。

receiver-name

識別起始異動日誌接收器名稱的字元或圖形字串表示式。如果指定其中一個特殊值，則會忽略 receiver-library 值。否則， receiver-name 及 receiver-library 必須識別有效的異動日誌接收器。

如果未指定異動日誌接收器，則會使用 *CURRENT。

*CURRENT: 會採用轉換日誌項目時連接的現行日誌接收器。
*CURCHAIN: 會採用（包括轉換日誌項目時連接的現行日誌接收器的）日誌接收器鏈結。此接收器鏈結未跨過鏈結中的岔斷。如果在鏈結中有一個岔斷，當啟動以轉換日誌項時接收器的範圍為從在鏈結中大部分最近的岔斷至所連接的接收器。
*CURAVLCHN: 會採用包括開始轉換日誌項目時連接的日誌接收器的日誌接收器鏈結。此接收器鏈結未跨過鏈結中的岔斷。如果在鏈結中有一個岔斷，當啟動以轉換日誌項時接收器的範圍為從在鏈結中大部分最近的岔斷至所連接的接收器。如果日誌接收器位在接收器鏈上，並且是以釋放的儲存體選項儲存因而無法使用，系統將不處理這些日誌接收器，且將從鏈結中第一個可用的日誌接收器開始轉換項。
*CURSEQCHN: 使用開始轉換日誌項目時連接的日誌接收器所在的日誌接收器鏈，如果已在該接收器鏈中重設日誌序號，則從在其中重設日誌序號的最新日誌接收器開始。此接收器鏈結未跨過鏈結中的岔斷。如果在鏈結中有一個岔斷，當啟動以轉換日誌項時接收器的範圍為從在鏈結中大部分最近的岔斷至所連接的接收器。如果日誌接收器位在接收器鏈上，並且是以釋放的儲存體選項儲存因而無法使用，系統將不處理這些日誌接收器，且將從鏈結中第一個可用的日誌接收器開始轉換項。

starting-timestamp

指定開始時間戳記以使用^¹的時間戳記值。

不能同時為 starting-timestamp 和 starting-sequence指定值。

如果未指定任何起始時間戳記，則會使用接收端範圍中的最早時間戳記。

starting-sequence

識別要使用之起始序號的十進位表示式。如果在接收端範圍中找不到 starting-sequence 值，則會傳回錯誤。

不能同時為 starting-timestamp 和 starting-sequence指定值。

如果未指定起始順序，則會使用接收器範圍中的第一個序號。

異動日誌碼

列出要傳回之異動日誌碼的字元或圖形字串表示式。字串可以包含特殊值 *ALL 或 *CTL ，或它可以是一個以上異動日誌碼的清單。字串中的異動日誌碼可以由一或多個分隔字元分隔。分隔字元為空白及逗點。例如，有效字串可以是 'RJ' 或 'R J' 或' R ， J '或' R ， J'。

如果未提供任何字串，則會使用 *ALL。

日誌登載類型

列出要傳回之異動日誌項目類型的字元或圖形字串表示式。字串可以包含特殊值 *ALL 或 *RCD ，或它可以是一個以上異動日誌項目類型的清單。字串中的異動日誌項目類型可以由一或多個分隔字元分隔。分隔字元為空白及逗點。例如，有效字串可以是 'JFCT' 或 'JF CT' 或 'JF， CT' 或 'JF， CT'。

如果未提供任何字串，則會使用 *ALL。

物件-檔案庫

識別物件檔案庫名稱的字元或圖形字串表示式。容許值 *LIBL 及 *CURLIB。

物件名稱

包含最多 300 個物件名稱的字元或圖形字串表示式。多個名稱可以由一或多個分隔字元分隔。分隔字元為空白及逗點。

如果 object-name 是特殊值 *ALL ，則 object-library 必須包含檔案庫名稱，且 object-type 必須包含有效的物件類型。否則，每一個物件名稱必須使用相同的 object-library、 object-type及 object-member 參數來識別有效的物件。

如果未提供任何物件名稱，則會對 API 介面上已登載的檔案名稱使用 *ALLFILE 值。

物件類型

識別物件之系統物件類型的字元或圖形字串表示式。值必須是 *DTAARA、*DTAQ、*FILE 或 *LIB。

物件成員

識別成員名稱的字元或圖形字串表示式。它可以是特殊值 *FIRST、*ALL 或 *NONE ，或有效的成員名稱。如果物件類型不是 *FILE ，則會忽略成員名稱。

使用者

字元或圖形字串表示式，用於識別工作的現行使用者的使用者設定檔名稱。如果未指定 user ，則會使用 *ALL。

工作

識別工作名稱的字元或圖形字串表示式。支援兩種形式的工作名稱。

完整工作名稱，格式為 job-number/job-user/job-name。
前 10 個字元是工作名稱，後 10 個字元是使用者名稱，最後 6 個字元是工作號碼。

如果未指定工作，則會使用 *ALL。

程式

識別程式名稱的字元或圖形字串表示式。如果未指定 program ，則會使用 *ALL。

ending-receiver-library

識別結束異動日誌接收器檔案庫名稱的字元或圖形字串表示式。名稱可以是 *LIBL 或 *CURLIB。如果 ending-receiver-name 不是 *CURRENT ，則必須指定 ending-receiver-library 的值。

如果 eof-delay 大於零，則會忽略此參數的值。

ending-receiver-name

識別結束異動日誌接收器名稱的字元或圖形字串表示式。如果指定特殊值 *CURRENT ，則會忽略 ending-receiver-library 值。否則， ending-receiver-name 及 ending-receiver-library 必須識別有效的異動日誌接收器。

如果未指定 ending-receiver-name ，則會使用 *CURRENT。

如果 eof-delay 大於零，則會忽略此參數的值。

ending-timestamp

指定結束時間戳記以使用^¹的時間戳記值。

不能同時為 ending-timestamp 和 ending-sequence指定值。如果 eof-delay 大於零，則無法指定此參數。

如果未指定結束時間戳記，則會使用接收端範圍中的最新時間戳記。

結束序列

識別要使用的結束序號的十進位表示式。如果在接收端範圍內找不到 ending-sequence 值，則會傳回錯誤。

不能同時為 ending-timestamp 和 ending-sequence指定值。如果 eof-delay 大於零，則無法指定此參數。

如果未指定結束順序，則會使用接收器範圍中的最後一個序號。

當使用 ending-sequence 時，查詢結果會在發現第一個結束序列值時結束。如果異動日誌已重設其序號，則 ending-sequence 只會透過 ending-sequence的第一個相符項傳回結果。

generate-syslog

字元或圖形字串表示式，指出是否將日誌登載項目轉換為 syslog 格式化明細。其值包括：

否: 不會傳回任何 syslog 資訊。 SYSLOG_EVENT、SYSLOG_FACILITY、SYSLOG_SEVERITY 及 SYSLOG_PRIORITY 直欄將包含空值。
RFC3164: 如果為日誌登載項目定義 Syslog 資訊，則會傳回 SYSLOG_EVENT、SYSLOG_FACILITY、SYSLOG_SEVERITY 及 SYSLOG_PRIORITY 直欄的值。 SYSLOG_EVENT 直欄將包含符合「網際網路工程工作小組 (IETF) 註解要求 (RFC) 3164」所說明之 RFC3164 格式的 syslog 標頭。
RFC5424: 如果為日誌登載項目定義 Syslog 資訊，則會傳回 SYSLOG_EVENT、SYSLOG_FACILITY、SYSLOG_SEVERITY 及 SYSLOG_PRIORITY 直欄的值。 SYSLOG_EVENT 直欄將包含 syslog 標頭，符合「網際網路工程工作小組 (IETF) 註解要求 (RFC)」5424 所述的 RFC5424 格式。

DISPLAY_JOURNAL 只會傳回審核日誌的 syslog 資訊。如果指定 RFC3164 或 RFC5424 ，則 journal-library 必須是 QSYS ，而 journal-name 必須是 QAUDJRN。

如果未指定 generate-syslog 或它是空值，則會使用 NO。

eof-delay

整數表示式，指定已讀取所有審核日誌登載項目時要休眠的秒數。此延遲可讓呼叫程式建立輪詢服務，該服務會持續傳回列，每當處理完所有項目時，就會在指定的間隔休眠。

零值表示不使用延遲，且會傳回有限列集。大於零的值表示表格函數將視需要休眠，以等待新的審核異動日誌項目，且永不結束。如果未指定 eof-delay 或它是空值，則會使用零。

如果此參數的值大於零，則 generate-syslog 參數必須是 RFC3164 或 RFC5424，系統不處理 ending-receiver-library 和 ending-receiver-name ，且 ending-timestamp 和 ending-sequence 參數不能指定其預設值以外的值。

使用非零 eof-delay 參數時，請避免使用相依於傳回有限列數的查詢子句。例如，當滿足所要求的列數時，使用 FETCH FIRST n ROWS 子句可能會導致查詢結束。使用具有非零 eof-delay 參數的 DISPLAY_JOURNAL 函數的查詢不容許複製資料 (ALWCPYDTA (*NO))。這表示需要資料副本的查詢 (例如使用 ORDER BY 子句或 UNION DISTINCT 的查詢) 將會發出錯誤且不被容許。使用 eof-delay時，請考慮使用簡式查詢來避免封鎖列。當為了資料傳輸效率而封鎖列時，除非區塊已滿，否則不會傳回列。因此，您應該決定是否偏好資料傳輸效率或在事件發生時立即移動事件。

commit-cycle

十進位表示式，識別要使用的確定循環 ID。

如果未指定 commit-cycle ，則會使用 *ALL。

include-internal

指出是否傳回隱藏日誌登載項目的字元或圖形字串表示式。隱藏的項是由系統產生及使用。當傳回隱藏項目時，可以顯示所有異動日誌項目，以便將所有序號納入考量。

否: 未傳回內部項目。
是: 會傳回內部項目。

如果未指定 include-internal ，則會使用 NO。

函數引數支援的特殊值與「顯示異動日誌 (DSPJRN)」CL 指令相同。

函數的結果是一個表格，其中包含下列表格中所顯示格式的列。所有直欄都可為空值。

表 1. DISPLAY_JOURNAL 表格函數
直欄名稱	資料類型	說明
ENTRY_TIMESTAMP	TIMESTAM	異動日誌項目新增至異動日誌接收器^¹的系統日期和時間。
SEQUENCE_NUMBER	DECIMAL (21， 0)	系統指派給每一個異動日誌項目的號碼。
JOURNAL_CODE	CHAR(1)	異動日誌項目的主要種類。
JOURNAL_ENTRY_TYPE	CHAR(2)	進一步識別使用者建立或系統建立項目的類型。
COUNT_OR_RRN	BIGINT	包含導致異動日誌項目之記錄的相對記錄號碼 (RRN) ，或與異動日誌項目特定類型相關的計數。
ENTRY_DATA	BLOB (2G)	針對此異動日誌項目所傳回的項目特定資料。如需列和欄存取控制考量，請參閱「附註」一節。
NULL_VALUE_INDICATORS	VARCHAR (8000)	針對此異動日誌項目所傳回的空值指示器。
OBJECT	VARCHAR (30)	為其新增異動日誌項目的物件名稱。
OBJECT_TYPE	VARCHAR (10)	項目中的物件類型。
OBJECT_TYPE_INDICATOR	CHAR(1)	與物件欄位中資訊相關的指示器。
檔案 _ 類型 _ 指示器	CHAR(1)	識別此異動日誌項目是否與邏輯檔案相關。
JOURNAL_IDENTIFIER	VARCHAR (10)	物件的異動日誌 ID (JID)。
USER_NAME	VARCHAR (10)	建立登錄時執行工作的有效使用者設定檔名稱。此值與 CURRENT_USER 直欄中傳回的值相同。
JOB_NAME	VARCHAR (10)	新增項目的工作名稱。
JOB_USER	VARCHAR (10)	啟動工作之使用者的使用者設定檔名稱。
JOB_NUMBER	VARCHAR (6)	新增登錄之工作的工作號碼。
執行緒	BIGINT	識別處理程序內新增異動日誌項目的執行緒。
PROGRAM_NAME	VARCHAR (10)	新增項目的程式名稱。
PROGRAM_LIBRARY	VARCHAR (10)	包含新增異動日誌項目之程式的檔案庫名稱。
PROGRAM_LIBRARY_ASP_DEVICE	VARCHAR (10)	包含程式的 ASP 裝置名稱。
PROGRAM_LIBRARY_ASP_NUMBER	INTEGER	包含新增異動日誌項目之程式的輔助儲存區號碼。
COMMIT_CYCLE	DECIMAL (21， 0)	識別確定循環的號碼。
NESTED_COMMIT_LEVEL	BIGINT	表示存放代表物件層次變更的日誌項目時，開啟的確定循環巢狀層次。
XID	VARCHAR (140)	與 XA 交易分支相關之確定週期的交易 ID ，如 Open Group 的 XA 規格所定義。
LUW	VARCHAR (39)	邏輯工作單元識別要與給定工作單元相關聯的項目。
遠端埠	INTEGER	與這個日誌項目相關的遠端位址埠號。
遠端位址	VARCHAR (46)	與異動日誌項目相關的遠端位址。
System_name	VARCHAR (8)	在其中擷取項目的系統名稱。
系統 _ 序號	DECIMAL (21， 0)	系統序號表示這個日誌項目存放到日誌時的相對順序。
REFERENTIAL_CONSTRAINT	CHAR(1)	是否針對在參照限制中的記錄上發生的動作記錄此登錄。
TRIGGER	CHAR(1)	此登錄是否建立為觸發程式的結果。
IGNORE_ON_APPLY	CHAR(1)	是在「套用登載變更 (APYJRNCHG)」或「移除登載變更 (RMVJRNCHG)」指令期間忽略此登錄。
MINIMIZED_ENTRY_DATA	CHAR(1)	由於異動日誌已針對項目的物件類型指定 MINENTDTA ，因此此項目是否已最小化項目特定資料。
MINIMIZED_ON_FIELD_BOUNDARY	CHAR(1)	由於使用 MINENTDTA (*FLDBDY) 指定日誌，此項目是否已最小化欄位界限上的項目特定資料。
INDICATOR_FLAG	CHAR(1)	作業的指示器。
RECEIVER_NAME	VARCHAR (10)	保留異動日誌項目的接收器名稱。
RECEIVER_LIBRARY	VARCHAR (10)	包含保留異動日誌項目之接收器的檔案庫名稱。
RECEIVER_ASP_DEVICE	VARCHAR (10)	包含保留異動日誌項目之接收器的 ASP 裝置名稱。
RECEIVER_ASP_NUMBER	INTEGER	包含保留異動日誌項目之接收器的輔助儲存區號碼。
ARM_NUMBER	INTEGER	含有異動日誌項目的磁碟讀寫臂號碼。
OBJECT_ASP_DEVICE	VARCHAR (10)	ASP 裝置名稱。
OBJECT_ASP_NUMBER	INTEGER	ASP 號碼。
PARENT_FILE_ID	BINARY (16)	上層目錄的檔案 ID。
OBJECT_FILE_ID	BINARY (16)	物件的檔案 ID。
相對目錄 _ 檔案 ID	BINARY (16)	PATH_NAME 中包含物件之目錄的檔案 ID。
物件 _ 檔案 _ 名稱	VARGRAPHIC (2002) CCSID 1200	物件名稱。
PATH_NAME	DBCLOB (16M) CCSID 1200	IFS 路徑的名稱。
DLO_NAME	VARCHAR (12)	DLO 名稱。
FOLDER_PATH	VARCHAR (63)	DLO 資料夾路徑。
CURRENT_USER	VARCHAR (10)	建立登錄時執行工作的有效使用者設定檔名稱。此值與 USER_NAME 直欄中傳回的值相同。
SYSLOG_EVENT	VARGRAPHIC (2048) CCSID 1200	日誌登載項目的「共用事件格式 (CEF)」syslog 事件之前有所要求類型的標頭。如果要求標頭類型 RFC3164 ，長度上限為 1024 個字元。如果要求 RFC5424 的標頭類型，長度上限為 2048 個字元。如果字串超出長度上限，則會截斷，且不會出現警告。產生 syslog 資訊的審核日誌登載項目類型，以及針對日誌登載項目所傳回的金鑰名稱，會列在 Notes 區段中。如果未定義日誌登載項目的 syslog 事件，或如果 GENERATE_SYSLOG 參數指定了 NO ，則包含空值。
SYSLOG_XX_ENCODE_CASE_ONE facility	INTEGER	指派給事件的 syslog 機能。 4 安全/授權訊息。針對所有 T 及 U 審核日誌登載項目傳回此值。如果未定義日誌登載項目的 syslog 事件，或如果 GENERATE_SYSLOG 參數指定了 NO ，則包含空值。
SYSLOG_SEVERITY	INTEGER	指派給事件的 syslog 嚴重性。 2 嚴重狀況 4 警告狀況 5 注意事項: 正常但重要的狀況 6 參考訊息「附註」區段中會列出指派給每一個日誌登載項目的嚴重性。如果未定義日誌登載項目的 syslog 事件，或如果 GENERATE_SYSLOG 參數指定了 NO ，則包含空值。
系統日誌 _ 優先順序	INTEGER	指派給事件的 syslog 優先順序號碼。如果未定義日誌登載項目的 syslog 事件，或如果 GENERATE_SYSLOG 參數指定了 NO ，則包含空值。

附註

橫列及直欄存取控制: 此表格函數可辨識 ROW ACCESS CONTROL 或 COLUMN ACCESS CONTROL 是否存在，並針對目標表格啟動。如果表格有任何作用中的橫列或直欄存取控制，在 ENTRY_DATA 中傳回值之前，會先套用定義給橫列許可權及/或直欄遮罩的規則文字邏輯。當列許可權的規則文字判定呼叫函數的使用者不應該看到列時， ENTRY_DATA 直欄會包含文字 NOT AUTHORIZED。如果容許使用者查看該列，且直欄遮罩已存在，則直欄遮罩的規則文字會決定針對 ENTRY_DATA 傳回的值。

LOB 資料考量: 若為異動日誌碼 R (任何項目類型) 及代碼 F (IZ 項目類型) ，當發現長度為零字串的 LOB 資料類型時，會在「項目特定資料」中放置 16 ' Q ，後面接著 LOB 資料。

過濾考量: 使用 DISPLAY_JOURNAL 來檢閱特定物件的日誌登載活動時，有一些考量可確保傳回完整結果。

查詢審核異動日誌 (JOURNAL_LIBRARY => 'QSYS' 及 JOURNAL_NAME => 'QAUDJRN') 時，請勿使用物件過濾器，因為它們會導致未傳回任何項目。對於審核日誌，請使用 WHERE 子句來限制傳回的列。
查詢資料異動日誌時，請考量是否可能已變更物件的「異動日誌 ID (JID)」。物件過濾器會使用在物件中找到的 JID ，且不會傳回任何具有不同 JID 的項目。如果物件的 JID 可能已變更，請避免使用物件過濾器。在此情況下，請使用 WHERE 子句來限制傳回的列。

Syslog 資訊: 針對具有 T 及 U 日誌代碼的所有審核日誌登載項目傳回 Syslog 資訊。 Syslog 資訊也可用於歷程日誌訊息。如需詳細資料，請參閱 HSTORY_LOG_INFO 表格函數。

下列具有 T 日誌登載代碼的審核日誌登載項目會產生 syslog 資訊:

AD: 審核變更
AF: 權限失敗
AP: 取得採用權限
AU: 屬性變更
AX: 橫列及直欄存取控制
CA: 權限變更
CD: 指令字串審核
CO: 建立物件
CP: 已變更、建立或還原使用者設定檔
Cq: *CRQD 物件的變更
CU: 叢集作業
CV: 連線驗證
CY: 加密配置
C3: 進階分析指令配置
DI: 目錄伺服器
DO: 刪除物件
DS: DST 安全密碼重設
EV: 系統環境變數
FT: FTP 用戶端作業
GR: 一般記錄
GS: Socket 說明已提供給另一個工作
IM: 侵入監視器
IP: 處理作業之間的通訊
IR: IP規則動作
IS: 網際網路安全管理
JD: 變更工作說明的使用者參數
JS: 影響工作的動作
KF: 金鑰環檔 (key ring file)
LD: 鏈結、解除鏈結或查閱目錄項目
ML: 辦公室服務郵件動作
M0: Db2® 鏡映設定工具
M6: Db2 鏡映通訊服務
M7: Db2 鏡映抄寫服務
M8: Db2 Mirror 產品服務
M9: Db2 鏡映抄寫狀態
不適用: 網路屬性已變更
ND: APPN 目錄搜尋過濾違規
NE: APPN 端點過濾違規
OM: 物件移動或重新命名
或: 物件還原
OW: 已變更物件所有權
O1: 光學存取
O2: 光學存取
O3: 光學存取
PA: 程式已變更為採用權限
PF: PTF 作業
PG: 變更物件的主要群組
採購單: 列印輸出
PS: 設定檔交換
PU: PTF 物件變更
PW: 無效的密碼
RA: 還原期間的權限變更
RJ: 使用指定的使用者設定檔還原工作說明
RO: 還原期間變更物件擁有者
RP: 還原採用權限程式
RQ: 還原 *CRQD 物件
RU: 還原使用者設定檔權限
RZ: 在還原期間變更主要群組
SD: 系統配送目錄的變更
TW: 已變更子系統遞送登錄
SF: 對排存檔的動作
SG: 非同步信號
SK: Socket連線
SM: 系統管理變更
SO: 伺服器安全使用者資訊動作
ST: 使用服務工具
SV: 系統值已變更
VO: 驗證清單動作
VP: 網路密碼錯誤
XD: 目錄伺服器延伸
X0: 網路鑑別
X1: 身分記號
X2: 查詢管理程式設定檔變更
YC: 已存取 DLO 物件 (變更)
YR: 已存取 (讀取) DLO 物件
ZC: 已存取物件 (變更)
ZR: 已存取物件 (讀取)

具有 U 異動日誌碼的審核異動日誌項目會被指派 SYSLOG_SEVERITY 6。具有 T 異動日誌碼的審核異動日誌項目會以下列方式獲指派 SYSLOG_SEVERITY 值:

嚴重性 2: 嚴重狀況
- SV-QAUDCTL 變更為 *NONE 時的系統值
- AF -權限失敗
- DI-目錄伺服器 (作業類型 'AF')
- GR-一般記錄，檢查函數用法並針對字首為 QIBM_DB_ 的函數名稱失敗時
- IM -侵入監視器
- IP-交互程序通訊 (項目類型 'F')
嚴重性 5 注意事項: 正常但顯著狀況
- AD-審核變更
- AX -橫列和直欄存取控制
- CA-權限變更
- CP -變更、建立或還原的使用者設定檔
- DI-目錄伺服器 (作業類型 'AD'、'CA '、'CP'、'OM '、'OW' 及 'PW')
- DS-DST 安全密碼重設
- IP-交互程序通訊 (項目類型 'A')
- JD-變更工作說明的使用者參數
- JS-影響工作的動作 (項目類型 'M' 和' T ')
- OM-物件移動或重新命名
- OW-已變更物件所有權
- O3 -光學存取 (項目類型 'L')
- PG-變更物件的主群組
- PS-設定檔交換
- PW-密碼無效
- RA-還原期間的權限變更
- RO-還原期間變更物件擁有者
- RU-還原使用者設定檔權限
- RZ-在還原期間變更主要群組
- SO-伺服器安全使用者資訊動作
- VO-驗證清單動作 (項目類型 'U')
- VP -網路密碼錯誤
- X0 -網路鑑別 (項目類型 '2'-'6'、'8'、'9' 及 'A'-'F ')
- X1 -身分記號 (項目類型 'F' 和 'U')
- X2 -查詢管理程式設定檔變更
嚴重性 6 參考訊息
- AP-取得採用的權限
- AU-屬性變更
- CD-指令字串審核
- CO-建立物件
- CQ-變更 *CRQD 物件
- CU-叢集作業
- CV -連接驗證
- CY -密碼配置
- C3 -進階分析指令配置
- DI-目錄伺服器 ('AD '、'AF'、'CA '、'CP'、'OM '、'OW' 及 'PW' 以外的所有作業類型)
- DO-刪除物件
- EV-系統環境變數
- FT - FTP用戶端作業
- GR-一般記錄，但「嚴重性 4」案例除外，該案例已檢查函數使用情形且失敗
- GS-Socket 說明已提供給另一個工作
- IP-交互程序通訊 (除 'A' 和 'F' 以外的所有項目類型)
- IR - IP規則動作
- IS -網際網路安全管理
- JS-影響工作的動作 (除了 'M' 和' T ' 以外的所有項目類型)
- KF -鑰匙環檔
- LD-鏈結、解除鏈結或查閱目錄項目
- ML-Office 服務郵件動作
- M0 -「Db2鏡映」設定工具
- M6 -「Db2鏡映」通訊服務
- M7 -「Db2鏡映」抄寫服務
- M8 -「Db2鏡映」產品服務
- M9 -「Db2鏡映」抄寫狀態
- NA-網路屬性已變更
- ND-APPN 目錄搜尋過濾違規
- NE-APPN 端點過濾違規
- OR -還原物件
- O1 -光學存取
- O2 -光學存取
- O3 -光學存取 ('L' 以外的所有登錄類型)
- PA-程式變更為採用權限
- PF - PTF作業
- PO -列印輸出
- PU - PTF物件變更
- RJ-以指定的使用者設定檔還原工作說明
- RP-還原採用的權限程式
- RQ-還原 *CRQD 物件
- SD-系統配送目錄的變更
- SE-子系統遞送登錄已變更
- SF-排存檔的動作
- SG -非同步信號
- SK-Socket 連線
- SM-系統管理變更
- ST-使用服務工具
- SV-系統值已變更，但 QAUDCTL 嚴重性 2 案例除外
- VO-驗證清單動作 (除 'U' 以外的所有項目類型)
- XD-目錄伺服器延伸
- X0 -網路鑑別 (除 '2'-'6'、'8'、'9' 及 'A'-'F ' 以外的所有項目類型)
- X1 -身分記號 (除了 'F' 和 'U' 以外的所有項目類型)
- YC-已存取 DLO 物件 (變更)
- YR-已存取 (讀取) DLO 物件
- ZC-存取的物件 (變更)
- ZR-存取的物件 (讀取)

在 SYSLOG_EVENT 直欄內產生的「共用事件格式」索引鍵名稱如下:

表 2. 共用事件格式索引鍵名稱
共用事件格式金鑰名稱	說明
attrName	屬性名稱 (擷取自 ENTRY_DATA 直欄)
attrValue	屬性值 (從 ENTRY_DATA 直欄擷取)
deviceExternalID	裝置名稱 (擷取自 ENTRY_DATA 直欄)
dloName	文件檔案庫物件名稱 (DLO_NAME 直欄)
dloPath	文件檔案庫物件資料夾路徑 (FOLDER_PATH 直欄)
dproc	目的地工作 (程序) 名稱 (擷取自 ENTRY_DATA 直欄)
dpt	目的地埠號 (擷取自 ENTRY_DATA 直欄)
DST	目的地 IP 位址 (從 ENTRY_DATA 直欄擷取)
duser	目的地使用者名稱 (擷取自 ENTRY_DATA 直欄)
filePath	IFS 串流檔路徑 (PATH_NAME 直欄)
fileType	物件類型 (OBJECT_TYPE 直欄)
FName	IFS 串流檔名 (OBJECT_FILE_NAME 直欄)
MSG	審核記錄中的其他資訊未包含在其他索引鍵中 (擷取自 ENTRY_DATA 直欄)
objName	物件名稱 (OBJECT 直欄)
oldAttr值	屬性值 (變更之前) (擷取自 ENTRY_DATA 直欄)
oldDlo名稱	文件檔案庫物件名稱 (重新命名之前) (擷取自 ENTRY_DATA 直欄)
oldDlo路徑	文件檔案庫物件資料夾路徑 (重新命名之前) (擷取自 ENTRY_DATA 直欄)
oldFile名稱	IFS 串流檔名 (重新命名之前) (擷取自 ENTRY_DATA 直欄)
oldFile路徑	IFS 串流檔路徑 (重新命名之前) (擷取自 ENTRY_DATA 直欄)
oldObj名稱	物件名稱 (重新命名之前) (擷取自 ENTRY_DATA 直欄)
原因	審核異動日誌項目的文字說明
紹斯特	來源系統 (主機) 名稱 (SYSTEM_NAME 直欄)
SProc	來源工作 (處理程序) 名稱 (JOB_NAME、JOB_USER、JOB_NUMBER 直欄)
SPT	來源埠號 (REMOTE_PORT 直欄)
src	來源 IP 位址 (REMOTE_ADDRESS 直欄)
使用者	來源使用者名稱 (USER_NAME 直欄)

範例

從異動日誌 TESTLIB/QSQJRN 的 *CURRENT 接收器中選取所有登錄。

SELECT * FROM TABLE (
                 QSYS2.DISPLAY_JOURNAL( 'TESTLIB', 'QSQJRN')) AS JT;

尋找 SUPERUSER 針對 PRODDATA/Sales 表格所做的所有變更。傳遞的前兩個引數沒有名稱，因為它們對應於函數的前兩個參數。其他四個引數會使用參數名稱語法來傳遞，以避免指定不需要的參數值。

SELECT journal_code, journal_entry_type, object, object_type, X.* 
FROM TABLE (
  QSYS2.Display_Journal(
            'PRODDATA', 'QSQJRN', -- Journal library and name
            OBJECT_LIBRARY=>'PRODDATA', OBJECT_NAME=>'SALES',
            OBJECT_OBJTYPE=>'*FILE', OBJECT_MEMBER=>'SALES' 
    ) ) AS X
WHERE journal_entry_type in ('DL', 'PT', 'PX', 'UP') AND "CURRENT_USER" = 'SUPERUSER'
ORDER BY entry_timestamp DESC;

檢閱 MYCO 檔案庫中 REQUESTS 檔案的審核異動日誌項目。對於審核日誌，會使用述詞來指定物件名稱。

SELECT journal_code, journal_entry_type, object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('QSYS', 'QAUDJRN') ) AS X 
  WHERE LEFT(OBJECT,20) = CHAR('REQUESTS', 10) CONCAT CHAR('MYCO', 10)
  ORDER BY entry_timestamp DESC;

使用現行 JID 檢閱 MYCO 檔案庫中 REQUESTS 檔案的前一小時變更。此查詢只會尋找 MYCO/REQUESTS *FILE 的 JID 與項目完全相符的項目。它會過濾下列三個異動日誌碼:

D: 資料庫檔案作業
F: 資料庫檔案成員作業
R: 特定記錄的作業

SELECT journal_code, journal_entry_type, object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('MYCO', 'QSQJRN', 
            JOURNAL_CODES => 'D,F,R',
            STARTING_RECEIVER_NAME => '*CURCHAIN',                         
            OBJECT_OBJTYPE=>'*FILE',
            OBJECT_LIBRARY=>'MYCO', 
            OBJECT_NAME=>'REQUESTS',
            OBJECT_MEMBER=>'*ALL'
    ) ) AS X 
  WHERE entry_timestamp > CURRENT TIMESTAMP - 1 HOUR  
  ORDER BY entry_timestamp DESC  ;

檢閱 MYCO 檔案庫中 REQUESTS 檔案的前一小時所有變更，包括可能具有不同日誌登載 ID (JID) 的任何變更。若要查看所有 JID 的項目，請使用述詞來指定物件名稱。

SELECT journal_code, journal_entry_type, hex( journal_identifier ), 
        object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('MYCO', 'QSQJRN', 
            JOURNAL_CODES => 'D,F,R',
            STARTING_RECEIVER_NAME => '*CURCHAIN'                         
    ) ) AS X 
  WHERE LEFT(OBJECT,20) = CHAR('REQUESTS', 10) CONCAT CHAR('MYCO', 10)
      and entry_timestamp > CURRENT TIMESTAMP - 1 HOUR
  ORDER BY entry_timestamp DESC  ;

從審核日誌中選取項目，以傳回 syslog 資訊，並以 RFC5424 標頭將它們格式化。

SELECT syslog_facility, syslog_severity, syslog_event  
  FROM TABLE (QSYS2.DISPLAY_JOURNAL('QSYS', 'QAUDJRN',
                                    GENERATE_SYSLOG =>'RFC5424'
              ) ) AS X
  WHERE syslog_event IS NOT NULL;

¹ 儲存在異動日誌接收器中的項目時間戳記精確度僅精確到 16 微秒。因此，作為 starting_timestamp 和 ending_timestamp 傳遞的值將被截斷，因此搜尋的實際時間戳記可能比指定值小 0 到 15 微秒。