[NEWSboard IBMi Forum]
  1. #1
    Registriert seit
    Jun 2001
    Beiträge
    1.973

    Qaudit Lesen und 'echte' Infos bekommen

    Hi *all,
    bei einem Kunden gibt es den Verdacht, das sich jemand unter fremden Namen einloggen will.

    Es läuft seit einiger Zeit das Audit Journal mit.
    Nun gibt es auch Einträge mit 'PW' als
    P Password not valid. und als
    Q Attempted signon (user authentication) failed because user profile is disabled.

    Außer einer IP, datum und Uhrzeit, kann ich dem Eintrag aber nix brauchbares etnehmen.
    Nicht einmal die Device, die den Login versucht hat, ist aufgeführt.

    Gibt es diese Informationen 'irgendwie'?
    Logge ich das falsche?

    Danke
    Robi
    Das Notwendige steht über dem technisch machbaren.
    (klingt komisch, funktioniert aber!)

  2. #2
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Da ja eine Systemanmeldung vor jeder Art von Aktion stattfinden muss, gibt es noch keine Anmeldung am Device (ich brauche ja keine 5250 für ODBC).
    Daher kommt die erste Anmeldung nur mit der IP.
    Mit dieser solltest du doch was anfangen können bzw. wenn die IP nicht zum Netz gehört, in der Firewall (Router) bereits sperren.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  3. #3
    Registriert seit
    Jun 2001
    Beiträge
    1.973
    Jain,
    Wir haben es zur Sicherheit ausprobiert.
    Ein Anwender hat sich bewusst 3 * falsch angemeldet.
    Die Einträge sind mit dehnen, die wir vorher hatten quasi identisch.
    nicht mal eine Meldung, das das Device xyz abgehängt wurde, habe ich gefunden.
    Die IP hilft uns nicht da diese nicht teilweise dynamisch vergeben wird (VPN)

    Robi
    Das Notwendige steht über dem technisch machbaren.
    (klingt komisch, funktioniert aber!)

  4. #4
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Ich weiß nicht ob das doppelt im System registriert wird bzw. eine Sache von QAUDIT ist.
    Die Anmeldung wird vom Subsystemjob durchgeführt. Da dieser Job speziell keine Berechtigungen verletzt bzw. Objekte ungestraft ändert, wird wohl nichts in QAUDIT ankommen.
    Solche Meldung findet man dann eher im DSPLOG (History) bzw. in QSYSOPR.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  5. #5
    Registriert seit
    Jun 2001
    Beiträge
    1.973
    Ja, das das UsrPrf inaktiviert wurde finde ich in der QHST.
    Die Device nicht

    Irgendwie nicht so aussagekräftig
    Das Notwendige steht über dem technisch machbaren.
    (klingt komisch, funktioniert aber!)

  6. #6
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Nun wirds wieder kompliziert.
    Ggf. liegt das wieder an Einstellungen der MSGID (ich bin jetzt nicht so der Operator).
    Schau mal ins Joblog des Subsystems, da müsste dann die Nachricht des Abhängens drinstehen.
    Wie nun der Subsystemjob dazu zu bringen ist, diese Nachrichten in QHST/SYSOPR zu schreiben kann ich halt nicht sagen. Ggf. gibts da was mit der Nachrichtenbewertung.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  7. #7
    Registriert seit
    Jun 2001
    Beiträge
    1.973
    Ok, danke!

    für den Testfall hat das geholfen.
    (Ich habe heute zum ersten mal in meiner AS/400 Zeit in das Joblog eines SBS geschaut!)
    Da finde ich das abhängen des Device.

    Nur leider in dem Joblog von Freitag ist nichts aufgezeichnet.
    Das Notwendige steht über dem technisch machbaren.
    (klingt komisch, funktioniert aber!)

  8. #8
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Was natürlich normal ist, wenn der User bereits bei der 1. Anmeldung am System gescheitert ist.
    Du erinnerst dich?
    1. Anmeldung (intern) über dem OpsNav am System
    2. Anmeldung (falls nicht übergehen ausgewählt) an der 5250

    Wenn man im OpsNav "Immer anmelden" auswählt, muss der User sich je Sitzung ggf. 2 x anmelden.
    Wenn du nun also nichts findest, wurde die Anmeldung schon abgelehnt bevor das Subsystem ein Device zuordnen konnte.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

Similar Threads

  1. SQLRPGLE Infos zu verwendeten Feldern auslesen
    By Peet in forum NEWSboard Programmierung
    Antworten: 5
    Letzter Beitrag: 25-03-14, 14:41
  2. Neuannoucement Infos ab 20.1.2003 hier !
    By AS-Trade in forum NEWSboard Server & Hardware Markt
    Antworten: 1
    Letzter Beitrag: 20-01-03, 11:33
  3. wo gibts infos über pop3 konten auf as/400
    By Koelch400 in forum IBM i Hauptforum
    Antworten: 2
    Letzter Beitrag: 15-08-02, 15:37
  4. SKYVA und ABB bekommen Zuschlag bei Avesta Polarit
    By Kirsten Steer in forum Archiv NEWSblibs
    Antworten: 0
    Letzter Beitrag: 11-07-02, 09:43
  5. Infos für DB2/400
    By Ma-Cell in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 29-05-02, 17:44

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •