Gibt es eine Möglichkeit die Aktivitäten eines Benutzer (der sich über Modem eingewählt hat) ohne große Probleme zu überwachen oder aufzuzeichnen ? Wie lange er z.B. angemeldet war und was er für Befehle abgesetzt hat.

Die Länge der 'Online-Zeit' läßt sich durch Aktivierung von Job-Accounting ermitteln (Systemwert QACGLVL auf *JOB setzen, vorher
das Journal QSYS/QACGJRN anlegen). Über DSPJRN des Journales in ein Outfile läßt sich nach Jobbeendigung die Differenz zwischen Anmelde- und Abmeldezeit ermitteln.

Die abgesetzten Befehle sind aus dem Joblog ersichtlich (in der JOBD den entsprechenden LogLevel einstellen und LOGCLPGM auf *YES setzen).

Gruß

Torsten

Das ist leider nur die halbe Wahrheit !

Selbst wenn das Joblog mit dem entsprechenden Loglevel eingestellt ist, kann der Benutzer sich mit SIGNOFF ohne Erstellung des Joblogs abmelden.
Auch LOGCLPGM(*YES) ist nicht unbedingt erfolgreich.
Der Benutzer kann seinen eigenen Job jederzeit mit CHGJOB ändern, so dass alle Informationen wieder verloren gehen.

Ich kenne leider keine Möglichkeit jede Benutzeraktivität sicher aufzuzeichnen !

Das stimmt für den Fall das der Benutzer ausreichende Rechte für den CHGJOB hat und den SIGNOFF Command prompten kann.
Mit entsprechenden Rechten ist es natürlich möglich (fast) alle Spuren zu verwischen, da
alle eingerichteten Logging Maßnahmen ja auch
wieder deaktiviert werden können.

Gruß

Torsten

Das sehe ich leider auch so. Der Grund für eine Überwachung liegt aber meistens im Support der Softwarehäuser. Wenn diese sich anmelden, möcht man doch schon gerne wissen, was diese so treiben.
Ein Entzug der Rechte (z.B. LMTCPB(*YES) im Profil) stört nur die Möglichkeiten des Support. Selbst wenn ich dies tue, und die Erlaubnis für z.B. PDM gebe, habe ich hier schon das Problem, dass Befehle die mittels PDM ausgeführt werden (über F16 jederzeit erweiterbar) LMTCPB unterlaufen.
LMTCPB beschränkt sich AUSSCHLIESSLICH auf eine System-Kommandozeile.
Der Aufruf eines QCMDEXC aus der Anwendung oder einer eigenen Kommandozeile fällt nicht darunter.
Versuchen Sie auch mal den Befehl RMVMSG, es gibt hier eine Variante, die das gesamte Joblog löscht !

Hallo Herr Kohlberg,
Ihr Problem sollte sich mit folgenden Dingen lösen lassen:
1. Wie die "Vorredner" bereits geschrieben haben lässt sich die Onlinezeit mit der Aktivierung des Job-Accountings leicht feststellen.
2. Die Aufzeichnung der durchgeführten Aktionen lässt sich mittels des AUDIT-Journals sicherstellen. Diese Journal wird mittels der 4 Systemwerte QAUDLVL, QAUDCTL, QAUDENDACN und QAUDFRCLVL steuern.
Das Handbuch Security Reference (IBM-Form SC41-5302-03) enthält im Kapitel 9 nähere Hinweise dazu.

Mit freundlichen Grüssen