DISPLAY_JOURNAL 表函数

在线编辑

DISPLAY_JOURNAL 表函数返回有关日志项的信息。它返回的信息与显示日志 (DSPJRN) CL 命令和检索日志条目 (QjoRetrieveJournalEntries) API 返回的信息类似。

权限

调用者必须对日志具有 *USE 权限，对包含日志的库具有 *EXECUTE 权限。
调用者必须对每个请求的日志接收器具有 *USE 权限，对包含该日志接收器的库具有 *EXECUTE 权限。
如果省略了 object-name 或如果 object-name 指定了不再存在的对象，那么需要对日志具有 *OBJEXIST 权限。
如果 object-name 是 *ALL ，那么必须将调用者授权给与日志项相关联的每个对象。
- 调用者必须具有:
  - 对对象的 *USE 权限，以及
  - 对包含对象的库的 *EXECUTE 权限。

模式为 QSYS2。

日志库

用于标识包含日志的库的名称的字符或图形字符串表达式。名称不能是 *LIBL 或 *CURLIB。

日志名称

用于标识日志名称的字符或图形字符串表达式。

接收方库

用于标识起始日志接收器库的名称的字符或图形字符串表达式。名称可以是 *LIBL 或 *CURLIB。

接收方名称

用于标识起始日志接收器的名称的字符或图形字符串表达式。如果指定了其中一个特殊值，那么将忽略 receiver-library 值。否则， receiver-name 和 receiver-library 必须标识有效的日志接收器。

如果未指定日志接收器，那么使用 *CURRENT。

*CURRENT: 使用当开始转换日志项时当前连接的日志接收器。
*CURCHAIN: 使用开始转换日志项时当前连接的日志接收器所在的日志接收器链。此接收器链不跨过链中的断点。如果链中有中断，那么日志接收器范围从链中的最新中断，到开始转换日志项时所连接的接收器。
*CURAVLCHN: 使用开始转换日志项时连接的日志接收器所在的日志接收器链。此接收器链不跨过链中的断点。如果链中有中断，那么日志接收器范围从链中的最新中断，到开始转换日志项时所连接的接收器。如果接收器链中存在不可用的日志接收器（由于保存这些日志接收器时使用了存储空间释放选项），那么将忽略这些日志接收器并且将从该链中第一个可用的日志接收器开始转换项。
*CURSEQCHN: 使用开始转换日志项时连接的日志接收器所在的日志接收器链，如果已在该接收器链中重置日志序列号，那么从已在其中重置日志序列号的最新日志接收器开始。此接收器链不跨过链中的断点。如果链中有中断，那么日志接收器范围从链中的最新中断，到开始转换日志项时所连接的接收器。如果接收器链中存在不可用的日志接收器（由于保存这些日志接收器时使用了存储空间释放选项），那么将忽略这些日志接收器并且将从该链中第一个可用的日志接收器开始转换项。

开始时间戳记

时间戳记值，用于指定要使用^¹的开始时间戳记。

不能同时为 起始时间戳记 和 起始序列指定值。

如果未指定开始时间戳记，那么将使用接收方范围中的最早时间戳记。

起始序列

用于标识要使用的起始序号的十进制表达式。如果在接收方范围中找不到 起始序列 值，那么将返回错误。

不能同时为 起始时间戳记 和 起始序列指定值。

如果未指定起始序列，那么将使用接收器范围中的第一个序号。

日志码

列出要返回的日志码的字符或图形字符串表达式。该字符串可以包含特殊值 *ALL 或 *CTL ，也可以是一个或多个日志码的列表。字符串中的日志码可以由一个或多个分隔符分隔。分隔符为空白和逗号。例如，有效字符串可以是 "RJ" ， "R J" ， "R ， J" 或 "R ， J"。

如果未提供字符串，那么将使用 *ALL。

日志类型

列出要返回的日志项类型的字符或图形字符串表达式。该字符串可以包含特殊值 *ALL 或 *RCD ，也可以是一个或多个日志项类型的列表。字符串中的日志项类型可以由一个或多个分隔符分隔。分隔符为空白和逗号。例如，有效字符串可以是 "JFCT" ， "JF CT" ， "JF， CT" 或 "JF， CT"。

如果未提供字符串，那么将使用 *ALL。

对象库

用于标识对象库名称的字符或图形字符串表达式。允许值 *LIBL 和 *CURLIB。

对象名

包含最多 300 个对象名的字符或图形字符串表达式。可以使用一个或多个分隔符来分隔多个名称。分隔符为空白和逗号。

如果 object-name 是特殊值 *ALL ，那么 object-library 必须包含库名，而 object-type 必须包含有效的对象类型。否则，每个对象名都必须使用相同的 object-library， object-type和 object-member 参数来标识有效对象。

如果未提供对象名，那么将对 API 接口上的日志文件名使用值 *ALLFILE。

对象类型

用于标识对象的系统对象类型的字符或图形字符串表达式。该值必须是 *DTAARA ， *DTAQ ， *FILE 或 *LIB。

对象成员

用于标识成员名称的字符或图形字符串表达式。它可以是特殊值 *FIRST ， *ALL 或 *NONE 或有效成员名。如果对象类型不是 *FILE ，那么将忽略成员名。

用户

用于标识用户概要文件名称针对作业的当前用户的字符或图形字符串表达式。如果未指定 user ，那么使用 *ALL。

作业

用于标识作业名称的字符或图形字符串表达式。支持两种形式的作业名。

格式为 job-number/job-user/job-name的标准作业名。
前 10 个字符是作业名，后 10 个字符是用户名，最后 6 个字符是作业号。

如果未指定 job ，那么使用 *ALL。

程序

用于标识程序名称的字符或图形字符串表达式。如果未指定 program ，那么使用 *ALL。

结束-接收方-库

用于标识结束日志接收器库的名称的字符或图形字符串表达式。名称可以是 *LIBL 或 *CURLIB。如果 ending-receiver-name 不是 *CURRENT ，那么必须指定 ending-receiver-library 的值。

如果 eof-delay 大于零，那么将忽略此参数的值。

结束接收方名称

用于标识结束日志接收器的名称的字符或图形字符串表达式。如果指定了特殊值 *CURRENT ，那么将忽略 ending-receiver-library 值。否则， ending-receiver-name 和 ending-receiver-library 必须标识有效的日志接收器。

如果未指定 ending-receiver-name ，那么使用 *CURRENT。

如果 eof-delay 大于零，那么将忽略此参数的值。

结束时间戳记

时间戳记值，用于指定要使用^¹的结束时间戳记。

不能同时为 正在结束时间戳记 和 正在结束序列指定值。如果 eof-delay 大于零，那么不能指定此参数。

如果未指定结束时间戳记，那么将使用接收方范围中的最新时间戳记。

结束序列

用于标识要使用的结束序号的十进制表达式。如果在接收方范围中找不到 ending-sequence 值，那么将返回错误。

不能同时为 正在结束时间戳记 和 正在结束序列指定值。如果 eof-delay 大于零，那么不能指定此参数。

如果未指定结束序列，那么将使用接收器范围中的最后一个序号。

使用 end-sequence 时，查询结果将在迂到第一个结束序列值时结束。如果日志已重置其序号，那么 结束序列 将仅通过 结束序列的第一个匹配项返回结果。

生成系统日志

一个字符或图形字符串表达式，用于指示是否将日志条目转换为 syslog 格式的详细信息。值为：

否: 将不会返回任何系统日志信息。 SYSLOG_EVENT ， SYSLOG_FACILITY ， SYSLOG_SEVERITY 和 SYSLOG_PRIORITY 列将包含空值。
RFC3164: 如果为日志条目定义了系统日志信息，那么将返回 SYSLOG_EVENT ， SYSLOG_FACILITY ， SYSLOG_SEVERITY 和 SYSLOG_PRIORITY 列的值。 SYSLOG_EVENT 列将包含与 RFC3164 格式匹配的系统日志头，如因特网工程任务组 (IETF) "请求注释" (RFC) 3164 所述。
RFC5424: 如果为日志条目定义了系统日志信息，那么将返回 SYSLOG_EVENT ， SYSLOG_FACILITY ， SYSLOG_SEVERITY 和 SYSLOG_PRIORITY 列的值。 SYSLOG_EVENT 列将包含与 RFC5424 格式匹配的系统日志头，如因特网工程任务组 (IETF) "请求注释" (RFC) 5424 所述。

DISPLAY_JOURNAL 仅返回审计日志的系统日志信息。如果指定了 RFC3164 或 RFC5424 ，那么 journal-library 必须是 QSYS 并且 journal-name 必须是 QAUDJRN。

如果未指定 generate-syslog 或为空值，那么将使用 NO。

延迟

一个整数表达式，用于指定读取所有审计日志项时要休眠的秒数。此延迟允许调用者建立一个轮询服务，该服务将持续返回行，只要处理了所有条目，就会在指定的时间间隔内休眠。

值为零表示不使用延迟，将返回一组有限的行。大于零的值指示表函数将根据需要休眠以等待新的审计日志项而永不结束。如果未指定 eof-delay 或为空值，那么将使用零。

如果此参数的值大于零，那么 generate-syslog 参数必须是 RFC3164 或 RFC5424。将忽略 结束-接收方-库 和 结束-接收方-名称 ，并且不能使用其缺省值以外的值指定 结束-时间戳记 和 结束-序列 参数。

使用非零 eof-delay 参数时，请避免使用依赖于返回有限行数的查询子句。例如，使用 FETCH FIRST n ROWS 子句可能会导致查询在满足所请求的行数时结束。使用带有非零 eof-delay 参数的 DISPLAY_JOURNAL 函数的查询不允许复制数据 (ALWCPYDTA (*NO))。这意味着需要数据副本的查询 (例如使用 ORDER BY 子句或 UNION DISTINCT 的查询) 将发出错误并且不允许。使用 eof-delay时，请考虑使用简单查询来避免阻塞行。为提高数据传输效率而阻塞行时，将不会返回行，直到该块已满为止。因此，您应该在事件发生后立即决定是有利于数据传输效率还是移动事件。

落实周期

用于标识要使用的落实周期标识的十进制表达式。

如果未指定 commit-cycle ，那么使用 *ALL。

包含内部

指示是否返回隐藏日志项的字符或图形字符串表达式。系统生成且使用隐藏项。返回隐藏项时，可以显示所有日志项，以便计算所有序号。

否: 不返回内部条目。
是: 返回内部条目。

如果未指定 include-internal ，那么将使用 NO。

函数自变量支持的特殊值与 "显示日志" (DSPJRN) CL 命令相同。

此函数的结果是包含具有下表中所示格式的行的表。所有列都是可空的。

表 1. DISPLAY_JOURNAL 表函数
列名	数据类型	描述
条目时间戳	TIMESTAMP	将日志项添加到日志接收器^¹时的系统日期和时间。
序列号	DECIMAL (21 0)	系统分配给每个日志项的数字。
期刊代码	CHAR (1)	日志项的主类别。
日志条目类型	CHAR(2)	进一步标识用户创建或系统创建的条目的类型。
COUNT_OR_RRN	BIGINT	包含导致日志项的记录的相对记录号 (RRN) 或与特定类型的日志项相关的计数。
ENTRY_DATA	BLOB (2G)	为此日志项返回的特定于项的数据。请参阅 "注释" 部分以了解行和列访问控制注意事项。
NULL_VALUE_指示符	VARCHAR (8000)	为此日志项返回的空值指示符。
对象	VARCHAR(30)	为其添加日志项的对象的名称。
对象类型	VARCHAR(10)	条目中对象的类型。
对象类型指示器	CHAR (1)	与对象字段中的信息相关的指示符。
文件类型指示器	CHAR (1)	标识此日志项是否与逻辑文件相关联。
期刊标识符	VARCHAR(10)	对象的日志标识 (JID)。
User_Name	VARCHAR(10)	创建条目时正在其下运行作业的有效用户概要文件的名称。此值与 CURRENT_USER 列中返回的值相同。
JOB_NAME	VARCHAR(10)	添加条目的作业的名称。
作业用户	VARCHAR(10)	启动作业的用户的用户概要文件名称。
作业号	VARCHAR (6)	添加项的作业的作业号。
线程	BIGINT	标识添加日志项的进程中的线程。
程序名	VARCHAR(10)	添加项的程序的名称。
程序库	VARCHAR(10)	包含添加日志项的程序的库的名称。
asp_device程序库	VARCHAR(10)	包含程序的 ASP 设备的名称。
程序库编号	INTEGER	包含添加日志项的程序的辅助存储池的编号。 1 表示系统 ASP。
COMMIT_CYCLE	DECIMAL (21 0)	用于标识落实周期的数字。
嵌套提交级别	BIGINT	指示存放表示对象级别更改的日志项时打开的落实周期的嵌套级别。
XID	VARCHAR(140)	与 XA 事务分支相关的落实周期的事务标识 (由 Open Group 的 XA 规范定义)。
LUW	VARCHAR (39)	逻辑工作单元标识要与给定工作单元关联的条目。
remote_port	INTEGER	与此日志项相关联的远程地址的端口号。
远程地址	VARCHAR (46)	与日志项关联的远程地址。
System_name	VARCHAR(8)	要在其中检索条目的系统的名称。
系统序列号	DECIMAL (21 0)	系统序号指示将此日志项存放至日志的相对顺序。
参照约束	CHAR (1)	是否为作为引用约束一部分的记录上发生的操作记录了此条目。
触发器	CHAR (1)	此条目是否是作为触发器程序的结果创建的。
应用时忽略	CHAR (1)	在 "应用日志记录的更改" (APYJRNCHG) 或 "移除日志记录的更改" (RMVJRNCHG) 命令期间忽略此条目。
最小化条目数据	CHAR (1)	由于日志对项的对象类型指定了 MINENTDTA ，因此此项是否具有最小化的特定于项的数据。
MINIMIZED_ON_FIELD_边界	CHAR (1)	由于使用 MINENTDTA (*FLDBDY) 指定了日志，因此此项是否在字段边界上具有最小化的特定于项的数据。
INDICATOR_FLAG	CHAR (1)	操作的指示符。
接收器名称	VARCHAR(10)	保存日志项的接收器的名称。
接收器库	VARCHAR(10)	包含保存日志项的接收器的库的名称。
接收 ASP DEVICE	VARCHAR(10)	包含保存日志项的接收器的 ASP 设备的名称。
接收器编号	INTEGER	包含保存日志项的接收器的辅助存储池的编号。 1 表示系统 ASP。
ARM_NUMBER	INTEGER	包含日志项的磁盘臂的编号。
object_asp_device	VARCHAR(10)	ASP 设备名。
object_asp_number	INTEGER	ASP 号。 1 表示系统 ASP。
PARENT_FILE_ID	BINARY (16)	父目录的文件标识。
对象 ECT_FILE_ID	BINARY (16)	对象的文件标识。
相对目录文件 ID	BINARY (16)	包含 PATH_NAME 中对象的目录的文件标识。
对象文件名	VARGRAPHIC (2002) CCSID 1200	对象名。
路径名	DBCLOB (16M) CCSID 1200	集成文件系统路径名称。
DLO_NAME	VARCHAR(12)	DLO 名称。
文件夹路径	VARCHAR (63)	DLO 文件夹路径。
货币用户 (CURRENT_USER)	VARCHAR(10)	创建条目时正在其下运行作业的有效用户概要文件的名称。此值与 USER_NAME 列中返回的值相同。
SYSLOG_EVENT	VARGRAPHIC (2048) CCSID 1200	日志项的公共事件格式 (CEF) 系统日志事件前面有所请求类型的头。如果请求头类型 RFC3164 ，那么最大长度为 1024 个字符。如果请求头类型 RFC5424 ，那么最大长度为 2048 个字符。如果字符串超过最大长度，那么将截断该字符串而不发出警告。在 "注释" 部分中列出了生成系统日志信息的审计日志项类型以及为日志项返回的键名。如果没有为日志条目定义系统日志事件，或者如果为 GENERATE_SYSLOG 参数指定了 NO ，那么包含空值。
syslog_facility	INTEGER	分配给事件的系统日志工具。 4 安全性/授权消息。针对所有 T 和 U 审计日志项返回此值。如果没有为日志条目定义系统日志事件，或者如果为 GENERATE_SYSLOG 参数指定了 NO ，那么包含空值。
syslog_severity	INTEGER	分配给事件的系统日志严重性。 2 严重情况 4 警告条件 5 注意: 正常但重大的情况 6 参考消息在 "注释" 部分中列出了分配给每个日志项的严重性。如果没有为日志条目定义系统日志事件，或者如果为 GENERATE_SYSLOG 参数指定了 NO ，那么包含空值。
系统日志优先级	INTEGER	分配给事件的系统日志优先级号。如果没有为日志条目定义系统日志事件，或者如果为 GENERATE_SYSLOG 参数指定了 NO ，那么包含空值。

注意

行和列访问控制: 此表函数可识别 ROW ACCESS CONTROL 还是 COLUMN ACCESS CONTROL 是否存在以及是否对目标表激活。如果任何行或列访问控制对表处于活动状态，那么在返回 ENTRY_DATA 中的值之前，将应用为行许可权和/或列掩码定义的规则文本逻辑。当行许可权的规则文本确定调用函数的用户不应看到行时， ENTRY_DATA 列包含文本 NOT AUTHORIZED。如果允许用户查看行并且存在列掩码，那么列掩码的规则文本将确定为 ENTRY_DATA 返回的值。

LOB 数据注意事项: 对于日志码 R (任何条目类型) 和代码 F (IZ 条目类型) ，当迂到长度为零的 LOB 数据类型字符串时， 16 ' Q 将放在 "特定于条目的数据" 中，后跟 LOB 数据。

过滤注意事项: 使用 DISPLAY_JOURNAL 来查看特定对象的日志活动时，有一些注意事项可确保返回完整的结果。

查询审计日志 (JOURNAL_LIBRARY => 'QSYS' 和 JOURNAL_NAME => 'QAUDJRN') 时，请勿使用对象过滤器，因为它们将导致不返回任何条目。对于审计日志，请使用 WHERE 子句来限制返回的行。
查询数据日志时，请考虑是否可能已更改对象的 "日志标识" (JID)。对象过滤器使用在对象中找到的 JID ，并且不会返回任何具有其他 JID 的条目。如果对象的 JID 可能已更改，请避免使用对象过滤器。在这种情况下，请使用 WHERE 子句来限制返回的行。

Syslog 信息: 将返回所有审计日志项的 Syslog 信息以及 T 和 U 日志码。系统日志信息也可用于历史记录日志消息。请参阅 HISTORY_LOG_INFO 表函数以获取更多详细信息。

以下带有 T 日志码的审计日志项将生成系统日志信息:

公元: 审计更改
AF: 权限故障
亚太地区: 获取沿用权限
CN: 属性更改
AX: 行和列访问控制
CA: 权限更改
CD: 命令字符串审计
CO: 创建对象
CP: 用户概要文件已更改，已创建或已复原
CQ: 更改 *CRQD 对象
cu: 集群操作
冷凝器真空度: 连接验证
CY: 加密配置
C3: 高级分析命令配置
直接投资: 目录服务器
DO: 删除对象
DS: DST 安全密码重置
eV: 系统环境变量
ft: FTP 客户机操作
GR: 通用记录
GS: 向另一个作业提供了套接字描述
IM: 入侵监视器
IP: 进程间通信
IR: IP规则操作
IS: 因特网安全管理
JD: 更改作业描述的用户参数
JS: 影响作业的操作
KF: 密钥环文件 (key ring file)
LD: 链接，取消链接或查找目录条目
ML: Office 服务邮件操作
M0: Db2® 镜像设置工具
M6: Db2 镜像通信服务
M7: Db2 镜像复制服务
M8: Db2 镜像产品服务
M9: Db2 镜像复制状态
不适用: 网络属性已更改
ND: APPN 目录搜索过滤器违例
NE: APPN 端点过滤器违例
OM: 对象移动或重命名
OR: 对象恢复
工作单元: 对象所有权已更改
O1: 光学访问
O2: 光学访问
O3: 光学访问
PA: 程序已更改为沿用权限
PF: PTF 操作
PG: 更改对象的主组
采购单: 打印输出
PS: 概要文件交换
PU: PTF 对象更改
PW: 无效的密码
RA: 复原期间的权限更改
RJ: 使用指定的用户概要文件恢复作业描述
RO: 复原期间对象所有者的更改
RP: 恢复沿用权限程序
rq: 恢复 *CRQD 对象
RU: 恢复用户概要文件权限
RZ: 在复原期间更改主组
SD: 对系统分发目录的更改
CN: 子系统路由项已更改
SF: 对假脱机文件的操作
CN: 异步信号
SK: 套接字连接
SM: 系统管理更改
SO: 服务器安全性用户信息操作
ST: 使用服务工具
SV: 系统值已更改
VO: 验证列表操作
副总裁: 网络密码错误
XD: 目录服务器扩展
X0: 网络认证
X1: 身份令牌
X2: Query Manager 概要文件更改
YC: 访问的 DLO 对象 (更改)
yr: 访问的 DLO 对象 (读)
ZC: 访问的对象 (更改)
ZR: 访问的对象 (读)

对具有 U 日志代码的审计日志项指定了 SYSLOG_SEVERITY 6。具有 T 日志代码的审计日志项按以下方式分配 SYSLOG_SEVERITY 值:

严重性 2 紧急情况
- SV-当 QAUDCTL 更改为 *NONE 时的系统值
- AF -权限失效
- DI-目录服务器 (操作类型 "AF")
- GR-通用记录，当检查函数使用情况时，对于前缀为 QIBM_DB_ 的函数名，此记录失败
- IM -侵入监视
- IP-进程间通信 (条目类型 "F")
严重性 5 声明: 正常但重要的情况
- AD-审计更改
- AX -行和列访问控制
- CA-权限更改
- CP -已更改、创建或恢复用户概要文件
- DI-目录服务器 (操作类型 "AD" ， "CA" ， "CP" ， "OM" ， "OW" 和 "PW")
- DS-DST 安全密码重置
- IP-进程间通信 (条目类型 "A")
- JD-更改作业描述的用户参数
- JS-影响作业的操作 (条目类型 "M" 和 "T")
- OM-对象移动或重命名
- OW-对象所有权已更改
- O3 -光学访问 (条目类型 "L")
- PG-更改对象的主组
- PS-概要文件交换
- PW-密码无效
- RA-复原期间的权限更改
- RO-在复原期间更改对象所有者
- RU-恢复用户概要文件权限
- RZ-在复原期间更改主组
- SO-服务器安全用户信息操作
- VO-验证列表操作 (条目类型 "U")
- VP -网络密码错误
- X0 -网络认证 (条目类型 "2"-"6" ， "8" ， "9" 和 "A"-"F")
- X1 -身份令牌 (条目类型 "F" 和 "U")
- X2 - Query manager概要文件更改
严重性 6 参考消息
- AP-获取沿用权限
- AU-属性更改
- CD-命令字符串审计
- CO-创建对象
- CQ-更改 *CRQD 对象
- CU-集群操作
- CV -连接验证
- CY -加密配置
- C3 -高级分析命令配置
- DI-目录服务器 (除 "AD" ， "AF" ， "CA" ， "CP" ， "OM" ， "OW" 和 "PW" 以外的所有操作类型)
- DO-删除对象
- EV-系统环境变量
- FT - FTP客户机操作
- GR-通用记录，但检查函数使用情况并失败的严重性 4 案例除外
- GS-套接字描述已提供给另一个作业
- IP-进程间通信 (除 "A" 和 "F" 以外的所有条目类型)
- IR - IP规则操作
- IS -因特网安全管理
- JS-影响作业的操作 (除 "M" 和 "T" 以外的所有条目类型)
- KF -密钥环文件
- LD-链接，取消链接或查找目录条目
- ML-Office 服务邮件操作
- M0 - Db2 Mirror设置工具
- M6 - Db2 Mirror通信服务
- M7 - Db2 Mirror复制服务
- M8 - Db2 Mirror产品服务
- M9 - Db2 Mirror复制状态
- NA-网络属性已更改
- ND-APPN 目录搜索过滤器违例
- NE-APPN 端点过滤器违例
- OR -对象恢复
- O1 -光盘访问
- O2 -光学访问
- O3 -光学访问 (除 "L" 以外的所有条目类型)
- PA-程序已更改为采用权限
- PF - PTF操作
- PO -打印的输出
- PU - PTF对象更改
- RJ-使用指定的用户概要文件复原作业描述
- RP-恢复沿用权限程序
- RQ-复原 *CRQD 对象
- SD-对系统分发目录的更改
- SE-子系统路由项已更改
- SF-对假脱机文件的操作
- SG -异步信号
- SK-套接字连接
- SM-系统管理更改
- ST-服务工具的使用
- SV-系统值已更改，但 QAUDCTL 严重性为 2 的情况除外
- VO-验证列表操作 (除 "U" 以外的所有条目类型)
- XD-目录服务器扩展
- X0 -网络认证 (除 "2"-"6" ， "8" ， "9" 和 "A"-"F" 以外的所有条目类型)
- X1 -身份令牌 (除 "F" 和 "U" 以外的所有条目类型)
- YC-DLO 对象已访问 (更改)
- YR-DLO 对象已访问 (读取)
- ZC-访问对象 (更改)
- ZR-已访问对象 (读)

SYSLOG_EVENT 列中生成的公共事件格式键名称为:

表 2。公共事件格式键名
公共事件格式键名	描述
attrName	属性名称 (从 ENTRY_DATA 列中抽取)
attrValue	属性值 (从 ENTRY_DATA 列中抽取)
deviceExternalId	设备名 (从 ENTRY_DATA 列中抽取)
dloName	文档库对象名 (DLO_NAME 列)
dloPath	文档库对象文件夹路径 (FOLDER_PATH 列)
德普罗克	目标作业 (进程) 名称 (从 ENTRY_DATA 列中抽取)
德普	目标端口号 (从 ENTRY_DATA 列中抽取)
DST	目标 IP 地址 (从 ENTRY_DATA 列中抽取)
多尔	目标用户名 (从 ENTRY_DATA 列中抽取)
filePath	集成文件系统流文件路径（PATH_NAME 列）
fileType	对象类型 (OBJECT_TYPE 列)
fname	集成文件系统流文件名（OBJECT_FILE_NAME 列）
消息	审计记录中未包含在其他键中的其他信息 (从 ENTRY_DATA 列中抽取)
objName	对象名 (OBJECT 列)
oldAttrValue	属性值 (更改前) (从 ENTRY_DATA 列中抽取)
oldDloName	文档库对象名 (在重命名之前) (从 ENTRY_DATA 列中抽取)
oldDloPath	文档库对象文件夹路径 (在重命名之前) (从 ENTRY_DATA 列中抽取)
oldFileName	集成文件系统流文件名（重命名前）（从 ENTRY_DATA 列提取）
oldFilePath	集成文件系统流文件路径（重命名前）（从 ENTRY_DATA 列提取）
oldObjName	对象名 (在重命名之前) (从 ENTRY_DATA 列中抽取)
原因	审计日志项的文本描述
绍斯特	源系统 (主机) 名称 (SYSTEM_NAME 列)
SProc	源作业 (进程) 名称 (JOB_NAME ， JOB_USER 和 JOB_NUMBER 列)
SPT	源端口号 (REMOTE_PORT 列)
src	源 IP 地址 (REMOTE_ADDRESS 列)
苏瑟	源用户名 (USER_NAME 列)

示例

从日志 TESTLIB/QSQJRN 的 *CURRENT 接收器中选择所有项。

SELECT * FROM TABLE (
                 QSYS2.DISPLAY_JOURNAL( 'TESTLIB', 'QSQJRN')) AS JT;

查找 SUPERUSER 对 PRODDATA/SALES 表所作的所有更改。由于前两个自变量与函数的前两个参数相对应，因此将传递前两个自变量而不带名称。将使用参数名称语法来传递其他四个参数，以避免为不需要的参数指定值。

SELECT journal_code, journal_entry_type, object, object_type, X.* 
FROM TABLE (
  QSYS2.Display_Journal(
            'PRODDATA', 'QSQJRN', -- Journal library and name
            OBJECT_LIBRARY=>'PRODDATA', OBJECT_NAME=>'SALES',
            OBJECT_OBJTYPE=>'*FILE', OBJECT_MEMBER=>'SALES' 
    ) ) AS X
WHERE journal_entry_type in ('DL', 'PT', 'PX', 'UP') AND "CURRENT_USER" = 'SUPERUSER'
ORDER BY entry_timestamp DESC;

查看 MYCO 库中 REQUESTS 文件的审计日志项。对于审计日志，使用谓词来指定对象名。

SELECT journal_code, journal_entry_type, object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('QSYS', 'QAUDJRN') ) AS X 
  WHERE LEFT(OBJECT,20) = CHAR('REQUESTS', 10) CONCAT CHAR('MYCO', 10)
  ORDER BY entry_timestamp DESC;

使用当前 JID 查看 MYCO 库中 REQUESTS 文件的最近一小时的更改。此查询将仅查找 MYCO/REQUESTS *FILE 的 JID 与该项完全匹配的项。它会过滤以下三个日志码:

D: 数据库文件操作
F: 数据库文件成员操作
R: 对特定记录的操作

SELECT journal_code, journal_entry_type, object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('MYCO', 'QSQJRN', 
            JOURNAL_CODES => 'D,F,R',
            STARTING_RECEIVER_NAME => '*CURCHAIN',                         
            OBJECT_OBJTYPE=>'*FILE',
            OBJECT_LIBRARY=>'MYCO', 
            OBJECT_NAME=>'REQUESTS',
            OBJECT_MEMBER=>'*ALL'
    ) ) AS X 
  WHERE entry_timestamp > CURRENT TIMESTAMP - 1 HOUR  
  ORDER BY entry_timestamp DESC  ;

查看 MYCO 库中 REQUESTS 文件的最近一小时的所有更改，包括可能具有其他日志标识 (JID) 的任何更改。要查看所有 JID 的条目，将使用谓词来指定对象名。

SELECT journal_code, journal_entry_type, hex( journal_identifier ), 
        object, object_type, X.* 
  FROM TABLE (QSYS2.Display_Journal('MYCO', 'QSQJRN', 
            JOURNAL_CODES => 'D,F,R',
            STARTING_RECEIVER_NAME => '*CURCHAIN'                         
    ) ) AS X 
  WHERE LEFT(OBJECT,20) = CHAR('REQUESTS', 10) CONCAT CHAR('MYCO', 10)
      and entry_timestamp > CURRENT TIMESTAMP - 1 HOUR
  ORDER BY entry_timestamp DESC  ;

从审计日志中选择返回系统日志信息的条目，并使用 RFC5424 头对其进行格式化。

SELECT syslog_facility, syslog_severity, syslog_event  
  FROM TABLE (QSYS2.DISPLAY_JOURNAL('QSYS', 'QAUDJRN',
                                    GENERATE_SYSLOG =>'RFC5424'
              ) ) AS X
  WHERE syslog_event IS NOT NULL;

¹ 存储在日志接收器中的条目时间戳记的准确性仅精确到 16 微秒。因此，将截断作为 starting_timestamp 和 ending_timestamp 传递的值，以便要搜索的实际时间戳记可能比指定值小 0 到 15 微秒。