Hi *all,
bei einem Kunden gibt es den Verdacht, das sich jemand unter fremden Namen einloggen will.

Es läuft seit einiger Zeit das Audit Journal mit.
Nun gibt es auch Einträge mit 'PW' als
P Password not valid. und als
Q Attempted signon (user authentication) failed because user profile is disabled.

Außer einer IP, datum und Uhrzeit, kann ich dem Eintrag aber nix brauchbares etnehmen.
Nicht einmal die Device, die den Login versucht hat, ist aufgeführt.

Gibt es diese Informationen 'irgendwie'?
Logge ich das falsche?

Danke
Robi

Da ja eine Systemanmeldung vor jeder Art von Aktion stattfinden muss, gibt es noch keine Anmeldung am Device (ich brauche ja keine 5250 für ODBC).
Daher kommt die erste Anmeldung nur mit der IP.
Mit dieser solltest du doch was anfangen können bzw. wenn die IP nicht zum Netz gehört, in der Firewall (Router) bereits sperren.

Jain,
Wir haben es zur Sicherheit ausprobiert.
Ein Anwender hat sich bewusst 3 * falsch angemeldet.
Die Einträge sind mit dehnen, die wir vorher hatten quasi identisch.
nicht mal eine Meldung, das das Device xyz abgehängt wurde, habe ich gefunden.
Die IP hilft uns nicht da diese nicht teilweise dynamisch vergeben wird (VPN)

Robi

Ich weiß nicht ob das doppelt im System registriert wird bzw. eine Sache von QAUDIT ist.
Die Anmeldung wird vom Subsystemjob durchgeführt. Da dieser Job speziell keine Berechtigungen verletzt bzw. Objekte ungestraft ändert, wird wohl nichts in QAUDIT ankommen.
Solche Meldung findet man dann eher im DSPLOG (History) bzw. in QSYSOPR.

Ja, das das UsrPrf inaktiviert wurde finde ich in der QHST.
Die Device nicht

Irgendwie nicht so aussagekräftig

Nun wirds wieder kompliziert.
Ggf. liegt das wieder an Einstellungen der MSGID (ich bin jetzt nicht so der Operator).
Schau mal ins Joblog des Subsystems, da müsste dann die Nachricht des Abhängens drinstehen.
Wie nun der Subsystemjob dazu zu bringen ist, diese Nachrichten in QHST/SYSOPR zu schreiben kann ich halt nicht sagen. Ggf. gibts da was mit der Nachrichtenbewertung.

Ok, danke!

für den Testfall hat das geholfen.
(Ich habe heute zum ersten mal in meiner AS/400 Zeit in das Joblog eines SBS geschaut!)
Da finde ich das abhängen des Device.

Nur leider in dem Joblog von Freitag ist nichts aufgezeichnet.

Was natürlich normal ist, wenn der User bereits bei der 1. Anmeldung am System gescheitert ist.
Du erinnerst dich?
1. Anmeldung (intern) über dem OpsNav am System
2. Anmeldung (falls nicht übergehen ausgewählt) an der 5250

Wenn man im OpsNav "Immer anmelden" auswählt, muss der User sich je Sitzung ggf. 2 x anmelden.
Wenn du nun also nichts findest, wurde die Anmeldung schon abgelehnt bevor das Subsystem ein Device zuordnen konnte.