User inaktiviert

**svit** · 30-01-17, 08:47

Hallo *all,

jemand hat übers wochenende Qsecofer inaktiviert (ev.3 x falschanmeldung).

besteht die Möglichkeit festzustellen, wer das war oder von welchen WS?

Danke.

**Fuerchau** · 30-01-17, 09:21

Das ist ja das Problem. Vor der Anmeldung weiß man nicht, wer es denn war.

**BenderD** · 30-01-17, 09:23

Zitat von Fuerchau

Das ist ja das Problem. Vor der Anmeldung weiß man nicht, wer es denn war.

... doch, doch: QSECOFR war's!

**hel400** · 30-01-17, 09:39

na jetzt seid mal nicht so :-)

@svit:
--> DSPLOG
Da gibt's dann die CPF1393 und in dieser steht dann auch die IP-Adresse

**Fuerchau** · 30-01-17, 09:43

Nun, da hat man ja dann die Uhrzeit und benötigt nur noch die Bilder der Überwachungskamera, die dieser IP (falls sie nicht dynamisch ist und ein Laptop ist da schon dynamisch durch Standortwechsel) am nächsten stand. Dann lässt sich ggf. das "wer" ermitteln, falls dies nicht mit den aktuellen Datenschutzbestimmungen kollidiert.

**BenderD** · 30-01-17, 10:17

Zitat von hel400

na jetzt seid mal nicht so :-)

@svit:
--> DSPLOG
Da gibt's dann die CPF1393 und in dieser steht dann auch die IP-Adresse

... frei nach Väterchen Franz:
Die richtige Lösung von diesem Problem ...
Limit Security Officer (QLMTSECOFR)
oder auch: nicht warten bis das Kind in den Brunnen gefallen ist - vorher Deckel drauf machen!

D*B

**Joe** · 30-01-17, 11:21

Hast du schon in der QSYS/HST... von betreffenden Tag gesucht.
Hier wird evtl. CPF2234 mit der entsprechenden WS protokolliert.

Gruß Joe

**svit** · 01-02-17, 08:40

ich habe die CPF1393 gefunden, aber es steht kein user, keine IP
"Benutzerprofil COVISC auf Einheit *N oder Netzwerkadresse *N....."

**hel400** · 01-02-17, 08:56

Interessant.
Dann dürfte das keine "normale" Anmeldung von einem PC (IP-Adresse) oder Workstation (DSPxx) sein, denn sonst sollte das ja dort stehen.
Könnte also zB auch durch Anmeldeversuche in einer FTP-Sitzung oder aber zB der Gebrauch des APIs QSYGETPH usw.. gewesen sein - damit kann man nämlich genauso das Profil nach x Anmeldeversuchen sperren.

Wobei die Sache mit FTP würde mir am meisten Sorgen machen, da dieses "Hintertürchen" ja gerne zum Ausprobieren genutzt wird ...

Evtl. mal das Historylog (DSPLOG) vor der CPF1393 genauer durchforsten, ob da irgendwelche zusätzlichen Hinweise rauskommen (und immer gilt: Cursor auf die entsprechende Meldung und "F1" drücken bringt zusätzlichen Text mit div. Details!!!)

**svit** · 01-02-17, 09:02

Habe sogar F9 gemacht
Von Job . . . . . . . . . . . : QTVDEVICE
Benutzer . . . . . . . . . . : QTCP
Nummer . . . . . . . . . . . : 131215

Von Programm . . . . . . . . . : QSYSGNON

**Fuerchau** · 01-02-17, 11:09

Das ist ein ganz normales 5250-Terminal.
Du hast doch dann aber den Benutzer COVISC!
Bei der 5250 und CA ist das in soweit von Vorteil, dass man sich zuerst per ClientAccess anmelden muss, bevor man zum 5250-Signon kommt. Ggf. lässt sich dann damit und der Uhrzeit was ermitteln.
Ich weiß allerdings nicht, welche Meldung und ob überhaupt im Historylog eingetragen wird, wenn man sich nur am System (also vor 5250) angemeldet hat.

**hel400** · 01-02-17, 17:17

Ja, auch wenn man im "Windows"-Fenster (graues Anmeldewindow) falsch eingibt, kommt die in Beitrag #8 angegebene Meldung.

Aber (Fuerchau weist ja bereits darauf hin - ist mir gar nicht aufgefallen!) die Frage lautet, warum QSECOFR inaktiviert ist und in Beitrag #8 wird die Meldung von COVISC gezeigt ...???

Thema: User inaktiviert

Thread Tools

Bewerten Sie diesen Thema

Display