可审计的 SPI 命令

系统编程接口命令 SETPERFORMENABLEDISABLERESYNC 可以动态更改资源定义。 不正确的条目可能导致 CICS® 系统失败。 在诊断问题时,了解资源是否已更改很重要。 系统管理员和管理审计记录的任何人都可以审计某些动态更改系统资源的系统编程接口命令。

审计消息

当某个已审计的系统编程接口命令更改系统资源时,会将新消息 DFHAP1900 写入瞬时数据队列 CADSCADS 瞬时数据队列是 DFHDCTG 组中定义的间接队列,它是 DFHLIST 的一部分。 这些消息以人类可读的形式编写。

这些消息包含以下信息:
  • 时间
  • 应用程序标识
  • 网络名
  • 事务标识
  • 用户标识
  • 命令的详细信息,包括属性名称和值
  • RESP 响应代码
  • RESP2 响应代码
示例 1
从终端 TC99输入命令 CEMT SET SYSTEM MAXTASKS(250) 。 对于正常响应,会将以下消息写入 CADS 队列:
DFHAP1900 I 11/11/2011 11:11:11 IYK3ZC76 IYCWTC99 CNTEST7
CEMT SET SYSTEM MAXTASKS (250) RESP (NORMAL) RESP2(0)
示例 2
从终端 TC99输入命令 CECI SET FILE(TEMP) OPEN 。 响应为:Open/close failed EIBRESP=+0000000012 EIBRESP2=+0000000018. 审计消息写为:
DFHAP1900 I 11/11/2011 11:11:11 IYK3ZC76 IYCWTC99 CNTEST7
CECI SET FILE (TEMP) OPEN RESP (FILENOTFOUND) RESP2(18)

在可能的情况下,将在消息中使用 CVDA 值而不是代码,以提高审计消息的可读性。

示例 3
命令 CECI SET FILE(TEMP) ENABLESTATUS(ENABLED)。 审计消息编写为:
DFHAP1900 I 11/11/2011 11:11:11 IYK3ZC76 IYCWTC99 CNTEST7
CECI SET FILE (TEMP) ENABLESTATUS (ENABLED) RESP (FILENOTFOUND) RESP2(18)

当您将 CEMT , WUI 或 Explorer 操作员命令与通用参数配合使用时,将对每个命令进行审计,就像单独输入一样。 例如,如果您有 2000 个程序并输入命令 CEMT SET PROGRAM(*) ENABLE,那么将记录 2000 条单独的消息。 同样,如果在未获得 SET PROGRAM授权时输入命令 CEMT SET PROGRAM(*) NEWCOPY ,那么将记录 2000 RACF® 故障消息。 因此,许多消息可能会淹没 CSSL 队列,因此应该将审计消息重定向到另一个队列。 由于每个命令都按单独输入的方式进行记录,因此您可以在日志中搜索单个程序名以帮助确定问题。

使用 CEMT 或 CECI 命令时,可能会添加或更改某些选项。 审计消息显示已发出的命令,这可能与您输入的命令不同。

注: 可以通过将审计消息引导至伪瞬时数据队列来禁用审计消息。 请参阅 使用虚拟瞬时数据队列

审计消息中的用户标识

审计消息中显示的用户标识取决于在发出命令的上下文中处于活动状态的安全性。 如果在 CICSPlex ® SM 的控制下发出该命令,那么有几个设置将影响使用的用户标识,如下表所示:
表 1. 审计消息中的用户标识
CMAS 中的 EYUPARM 启动请求的 CICS 区域中的 SIT 参数 审计消息中的用户标识
SEC (是) SEC=YES 已认证的用户标识
注: 已认证的用户标识将取决于发出命令的请求的启动方式和位置,如 表 2中所示。
SEC (是) SEC=NO CMAS 的缺省用户标识
SEC (NO) SEC=NO 发出命令的 CICS 区域的缺省用户标识
SEC (NO) SEC=YES 组合无效
表 2。 已认证的用户标识
启动请求的位置 已认证的用户标识
WUI 用于登录到 WUI 的用户标识
CICSPlex SM API 批处理作业 用于将作业连接到 CICSPlex SM 的用户标识,缺省情况下,这将是运行作业的用户。
CICSPlex SM API 应用程序 用于将任务连接到 CICSPlex SM 的用户标识,缺省情况下,这将是在 CICS中运行任务的用户。
区域资源管理器 (CMCI) 在 "连接凭证" 中指定的用户标识。
注: 如果安全性在 WUI 中未处于活动状态,那么用户可以使用用户标识的任何字符串值通过 Web 用户界面登录。 MAS 或 CMAS 的缺省用户标识显示在审计消息中,因此无法用于标识输入该命令的用户。

有关 CICS 用户安全性的更多信息,请参阅 CICS 用户

未审计的 SPI 命令

未审计某些 SPI 命令:
  • SET TERMINAL
  • FEPI SET 命令
  • PERFORM SHUTDOWN (已由消息 DFHTM1715处理)
  • CREATE (已由现有消息记录)

当 CICS 开始审计 SPI 命令时

发出消息 DFHSI1517 后,将开始对 SPI 命令进行审计,这指示将控制权交给 CICS。 当 SPI 审计在区域中变为可用时,将发出消息 DFHAP1901 ,指示它处于活动状态。

这意味着在系统初始化期间,不会审计 PLT 处理期间发出的 SPI 命令。