Hallo zusammen,

auf unserem System hat jemand ein Benutzerprofil gelöscht, welches noch gebraucht wurde. Um nun herauszufinden, wer das gemacht hat, wollte ich gerne wissen, ob das Löschen von Benutzern irgendwo protokolliert wird? Ich habe bereits schon im Auditjournal nachgeschaut, dort finde ich aber nur Einträge von Passwortänderungen, abgelaufene Passwörter und Berechtigungsänderungen, nichts zu Löschungen. Gibt es vielleicht noch irgendwelche andere Befehle, wie ich das herausfinden kann?

Danke im vorraus für eure Hilfe.

Hallo,

wenn das nicht unter audit steht, dann allenfalls noch in der History (DSPLOG), wenn es noch da ist.

mfg

Dieter Bender


Hallo zusammen,

auf unserem System hat jemand ein Benutzerprofil gelöscht, welches noch gebraucht wurde. Um nun herauszufinden, wer das gemacht hat, wollte ich gerne wissen, ob das Löschen von Benutzern irgendwo protokolliert wird? Ich habe bereits schon im Auditjournal nachgeschaut, dort finde ich aber nur Einträge von Passwortänderungen, abgelaufene Passwörter und Berechtigungsänderungen, nichts zu Löschungen. Gibt es vielleicht noch irgendwelche andere Befehle, wie ich das herausfinden kann?

Danke im vorraus für eure Hilfe.

Wie immer, was weg ist ist weg.
Steht im Audit nichts, wurde es von der Aufzeichnung auch ausgeschlossen (Einstellungen prüfen).

Per DSPLOG sieht man da auch eher nichts, da eben auch hier nicht alles protokolliert wurde.

Da es nur *SECADM-Profile sein können, sollte man diesen auf die Finger schauen (oder ist QSECOFR allgemein zugänglich?).

Nun ja, soweit ich weiß kann jeder mit *allobj ein Benutzerprofil löschen. Und ich habe schon in 2 Firmen gearbeitet wo alle *allobj hatten weil es dann weniger Probleme bei der Software gab.....

Der Wert für das Audit steht auf *SECURITY, ich denke da kann man nichts weiteres mehr einstellen. Leider werden hier aber keine neuen oder gelöschten Benutzer mitprotokolliert.
QSECOFR könnte von insgesamt 5 Mitarbeitern verwendet werden, aber dennoch ist es lästig, wenn man alle Leute fragen muss, vorallem wenn es dann keiner gewesen sein will. Gibt es kein separates Log, das alles für den QSECOFR mitprotokolliert?

Hallo,

Objekt Auditing für die Benutzerprofile. Separates Log für den QSECOFR hat man nur, wenn man da was für tut, wobei das einzig sichere hierbei wieder über Auditing und eigene Einträge ins Audit Journal geht.

mfg

Dieter Bender


Der Wert für das Audit steht auf *SECURITY, ich denke da kann man nichts weiteres mehr einstellen. Leider werden hier aber keine neuen oder gelöschten Benutzer mitprotokolliert.
QSECOFR könnte von insgesamt 5 Mitarbeitern verwendet werden, aber dennoch ist es lästig, wenn man alle Leute fragen muss, vorallem wenn es dann keiner gewesen sein will. Gibt es kein separates Log, das alles für den QSECOFR mitprotokolliert?

Protokolljournaleint. anzeigen (DSPAUDJRNE)

Auswahl eingeben und Eingabetaste drücken.

Journaleintragsarten . . . . . . DO AF, CA, CD, CO, CP, CU, CV...
+ für weitere Werte
Benutzerprofil . . . . . . . . . *ALL Name, *ALL
Zu durchsuchender Journalempf.:
Start Journalempfänger . . . . *CURCHAIN Name, *CURRENT, *CURCHAIN
Bibliothek . . . . . . . . . Name, *LIBL, *CURLIB
Ende Journalempfänger . . . . Name, *CURRENT
Bibliothek . . . . . . . . . Name, *LIBL, *CURLIB
Startdatum und Uhrzeit:
Startdatum . . . . . . . . . . *FIRST Datum, *FIRST
Startzeit . . . . . . . . . . Zeit
Enddatum und Uhrzeit:
Enddatum . . . . . . . . . . . *LAST Datum, *LAST
Endzeit . . . . . . . . . . . Zeit
Ausgabe . . . . . . . . . . . . *PRINT *PRINT, *



Listing sieht dann so aus für gelöschtes Profil TEST, der unter benutzerprofil gelistete ist der Initiator:

Eintragsart Benutzer- Objekt- Bibliotheks- Objekt-
profil name name art
Zeitmarke
007-10-10-17.18.43.768512
O A QSYSOPR TEST QUSRSYS *MSGQ
007-10-10-18.48.14.547456
O A QSYSOPR TEST QSYS *USRPRF