安全與審核
Db2® 「鏡映」的配置及管理有安全考量及審核日誌登載項目。
安全考量
- 管理 Db2 Mirror 的權限需求
若要管理 Db2 「鏡映」環境,使用者可能需要獲得服務或物件的權限,才能執行特定作業。 部分作業甚至可能需要功能使用或特殊權限。 依預設, *PUBLIC 只能檢視 Db2 「鏡映」設定。
如需提供用來配置及管理 Db2 「鏡映」之所有服務的詳細資料,請參閱 Db2 鏡映服務 。
如需每一個 Db2 「鏡映」服務的詳細權限需求及預設 *PUBLIC 權限,請參閱 授權 。
可以使用 Db2 「鏡映 GUI」中的 Db2 鏡映資料存取 功能來修改對 Db2 「鏡映」物件的存取權。 GUI 將在兩個節點上配置權限。
圖 1. Db2 Mirror GUI 中的 Db2 鏡映資料存取 
- 抄寫準則清單權限考量
「抄寫準則清單 (RCL)」包含可用來判斷節點上是否存在物件的物件抄寫規則。 依預設, RCL 實體檔 QSYS2/MIRROR_RCL 的 *PUBLIC 權限是 *EXCLUDE。
可以使用「授與物件權限 (GRTOBJAUT)」及「取消物件權限 (RVKOBJAUT)」CL 指令來修改 RCL 檔案的存取權。 負責配置物件抄寫及管理抄寫清單規則的管理者需要存取 RCL 檔案。
如需用來管理 RCL 之每一個服務的授權需求詳細資料,請參閱 抄寫服務 。
- 物件追蹤清單權限考量
依預設,「物件追蹤清單 (OTL)」實體檔 QRECOVERY/QADBRSYSTS 的 *PUBLIC 權限為 *EXCLUDE。
可以使用 Db2 鏡映 GUI 中的 Db2 鏡映資料存取 功能來修改對 OTL 檔案的存取權。 監視重新同步進度的系統管理者需要存取 OTL。
OTL 包含已抄寫物件及已追蹤動作的相關 meta 資料。 當授與使用者對 OTL 的權限時,不論使用者對抄寫的物件是否具有物件層次權限,都可以看到此 meta 資料。 OTL 不包含資料庫檔案列影像。 建議限制已獲授與 OTL 選取專用權的使用者數目。
除了檔案本身的權限之外,還有其他安全考量。 在某些情況下,您可能想要從 OTL 移除未處理的項目。 當使用者延遲來自 OTL 的項目時, Db2 「鏡映」不再嘗試處理與該項目相關的重新同步主題。 藉由延遲項目,節點配對中的相關物件將不再相同。 OTL 項目的使用者延遲並不常見,但在某些回復實務範例中可能是必要的。 因此,使用者需要額外的授權,其形式為獲得 QIBM_DB2_MIRROR 函數用法 ID 的授權。
建議只將 QIBM_DB2_MIRROR 函數使用權限授與同時具備管理這個重要 Db2 「鏡映」主題的知識和責任的管理者。
- 提交的工作追蹤器權限考量
IBM® i 服務用來管理「已提交工作追蹤器」特性。 如需用來管理「已提交工作追蹤器」之每一個服務的授權需求詳細資料,請參閱 工作管理服務 。
「提交的工作追蹤器」會維護一些實體檔案,以儲存正在追蹤的工作佇列清單,並儲存每一個已追蹤工作的工作參數及工作狀態資訊。 依預設,這些實體檔1的 *PUBLIC 權限設為 *EXLUDE:- 「工作佇列清單 (JQL)」實體檔是 QSYS/QAMRDJQL。
- 工作追蹤檔的實體檔是 QSBMJOBTRK/QAMRDJTS 和 QSBMJOBTRK/QAMRDJTT。
- 抄寫安全相關系統值的考量
如果已使用「啟動服務工具 (STRSST)」中的選項來防止變更某些安全相關系統值,則不容許變更這些值。 如果您嘗試變更已使用此功能鎖定的系統值,則不容許變更。 如需可以鎖定哪些系統值的相關資訊,請參閱 安全相關系統值的鎖定功能 。
系統值的鎖定不是抄寫特性,因此如果在目標節點上鎖定系統值,這些系統值的抄寫或重新同步將會失敗。
如需其他安全考量,請參閱 安全準則
審核
您可以審核 Db2 「鏡映」環境的配置、管理及狀態。
- 審核 Db2 「鏡映」動作
若要審核 Db2 「鏡映」動作,請將 IBM i 安全審核等級配置為包括 *SYSMGT。 請參閱 安全審核異動日誌項目 ,以取得指定 *SYSMGT 時所審核之動作的完整說明。
使用「變更安全審核 (CHGSECAUD)」指令來設定系統值,並建立 QAUDJRN 異動日誌 (如果它不存在的話)。
- 設定期間的審核行為
從第三個節點起始的複製動作將在設定來源節點上產生 M0 審核日誌登載項目。 如果在執行動作時關閉設定來源節點的電源,則會改為在第三個節點上寫入審核日誌登載項目。
- 作用中抄寫期間的審核行為
當抄寫處於作用中狀態時,每一個節點上的大部分作業都會自然進行審核,同時在每一個節點上同步進行變更。 一個例外是 IFS 作業,它只會在轉接 IASP 的節點上產生審核記錄。
- 重新同步期間的審核行為
在 QDBMSRVR 使用者設定檔下執行的 QSECOFR 工作中目標節點上,會處理暫停抄寫時所追蹤變更的重新同步。 由於重新同步而在目標節點上寫入的審核異動日誌項目或資料異動日誌項目將記錄為使用者 QSECOFR ,而不是原始在來源節點上進行變更的使用者。
- 審核提交的工作追蹤器動作
若要審核「已提交工作追蹤器」動作,請將 IBM i 安全審核等級配置為包括 *OBJAUD。 請參閱 規劃物件存取權的審核 ,以取得在指定 *OBJAUD 時,安全審核異動日誌中審核物件存取權的完整說明。
使用「變更安全審核 (CHGSECAUD)」指令來設定系統值,並建立 QAUDJRN 異動日誌 (如果它不存在的話)。
依預設,「已提交工作追蹤器」使用的檔案沒有啟用物件審核。 下列範例使用 Change Object Auditing (CHGOBJAUD) CL 指令來變更「已提交工作追蹤器」所使用的每一個實體檔的物件審核值:- 若要使用物件審核來收集 JQL 變更存取權的相關資訊,請執行下列指令:
CHGOBJAUD OBJ(QSYS/QAMRDJQL) OBJTYPE(*FILE) OBJAUD(*CHANGE) - 若要使用物件審核來收集工作追蹤檔案的變更及讀取權相關資訊,請執行下列指令1:
CHGOBJAUD OBJ(QSBMJOBTRK/QAMRDJTS) OBJTYPE(*FILE) OBJAUD(*ALL) CHGOBJAUD OBJ(QSBMJOBTRK/QAMRDJTT) OBJTYPE(*FILE) OBJAUD(*ALL)
可以使用 使用查詢或程式分析審核日誌登載項目 中說明的技術來分析審核日誌登載項目。
- 若要使用物件審核來收集 JQL 變更存取權的相關資訊,請執行下列指令:
- Db2 鏡映審核日誌登載項目
- 下列審核日誌登載項目會寫入 Db2 「鏡映」環境中的 QAUDJRN 日誌登載:
- 檢視 Db2 鏡映審核日誌登載項目
- 可以從 Db2 「鏡映 GUI」檢視及管理主要及次要節點的 Db2 「鏡映」審核日誌登載項目。 將滑鼠移至安全圖示 (鎖定) ,然後按一下 審核記錄。
圖 2. 在 Db2 鏡映 GUI 中啟動審核記錄 
下圖顯示 Db2 「鏡映」GUI 中的「審核記錄」視圖。圖 3. 檢閱 Db2 鏡映特定審核記錄 
也可以使用下列 SQL 表格函數來檢查 Db2 「鏡映」審核日誌登載項目: