Anmelden

View Full Version : *DISABLED


AK1
18-09-15, 13:03
Hallo,
kann man feststellen(User, Workstat,), wer eine Sperrung (*DISABLED) bei einen anderen User verursacht. Es hat sich jemand mit einem anderen User angemeldet und *DISABLED verursacht. Dieser User soll ermittelt werden, da dies mehrere Tage hintereinander vorgekommen ist.

Danke.
KingofKning
18-09-15, 13:22
Normalerweise siehst Du wer sich an welchem Terminal angemeldet hat.

Job 783431/ARUBA/GSEDV31 im Subsystem QINTER in QSYS am 18.09.15 um 14:24:37

Aruba ist der Benutzer GSEDV31 ist das Terminal.

Funktioniert aber nur wenn nicht QPADEV* ist ;-)

GG
AK1
18-09-15, 13:40
Normalerweise siehst Du wer sich an welchem Terminal angemeldet hat.

Job 783431/ARUBA/GSEDV31 im Subsystem QINTER in QSYS am 18.09.15 um 14:24:37

Aruba ist der Benutzer GSEDV31 ist das Terminal.

Funktioniert aber nur wenn nicht QPADEV* ist ;-)

GG

Ich möchte im nachhinein feststellen war der Verursacher war. Wer hat versucht sich unter einem falschen User anzumelden. Der Verursacher wird sich irgendwann unter seinem User anmelden.
cbe
18-09-15, 13:43
Hallo AK1,

hast Du das Audit-Journal aktiv?

Das wäre sowieso eine gute Idee, und dort könnte man es so sehen:


DSPJRN JRN(QAUDJRN)
RCVRNG(*CURCHAIN) FROMTIME('18.09.2015') TOTIME('18.09.2015')
JRNCDE((T)) ENTTYP(PW)
OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(QTEMP/AUD)

SELECT JODATE, JOTIME, JOESD FROM qtemp/aud

Damit kann man sehen, an welchem Terminal ein ungültiges USRPRF (U) oder ein ungültiges Passwort (P) eingegeben wurde.

Wer an welchem Terminal gesessen hat, ist eine andere Frage, vor allem bei QPADEVxxxx

Gruß,
Christian
holgerscherer
18-09-15, 14:52
Ich möchte im nachhinein feststellen war der Verursacher war. Wer hat versucht sich unter einem falschen User anzumelden. Der Verursacher wird sich irgendwann unter seinem User anmelden.

"Im Nachhinein" und "feststellen" in einem Satz ist immer problematisch. das Audit-Journal schaltet man ja gerne erst ein, wenn was passiert ist.

In der QSYSOPR MSGQ ist keine IP-Adresse hinterlegt, im Telnet-Job wird das auch nicht gespeichert. Also: auditieren, und dann kriegt man das viel besser raus.
Wenn Ihr DHCP verwendet, sollte der DHCP-Server aber protokollieren, damit Du auch sicher eine IP_Adresse einer Workstation zuordnen kannst.

-h