Explications des Logs ZOS SMF80

Laisser un commentaire / ZOS / Par

Last Updated on octobre 18, 2023 by admin

smf80

Ce tableau présente la disposition des logs SMF80 ou de type 80 (traitement des produits de sécurité (RACF)).
Liste des autres modèles de logs SMF disponibles ici.

Liste d’exemples de rapports SMF IBM.

Objectif : L’enregistrement de type 80 est produit pendant le traitement RACF (Resource Access Control Facility) et le traitement des Services PKI (Public Key Infrastructure).

  • RACF écrit un enregistrement chaque fois que l’un des événements suivants est détecté :
  • Tentatives non autorisées d’entrer dans le système
  • Accès autorisés ou tentatives non autorisées d’accès à des ressources protégées par RACF
  • Tentatives autorisées ou non de modifier des profils sur une base de données RACF
  • Vérification réussie ou non du partenaire LU.

PKI Services écrit un enregistrement pour chaque CRL publiée avec succès dans LDAP. RACF et PKI Services écrivent un enregistrement pour chaque événement.

Logs SMF80 – Traitement du produit de sécurité (RACF)

SMF80LEN

Longueur de l’enregistrement. Ce champ et le suivant (total de quatre octets) forment le RDW (record descriptor word). Voir En-tête d’enregistrement SMF standard à la page 13-1 pour une description détaillée.

Offset (Dec.)=0 Offset(Hex)=0 Length=2 Format=binary

SMF80SEG

Descripteur de segment (voir le champ de longueur d’enregistrement).

Offset (Dec.)=2 Offset(Hex)=2 Length=2 Format=binary

SMF80FLG

Indicateur de système : Bit Signification Lorsqu’il est défini :

  • 0-2 Réservé
  • 3-6 Indicateurs de version* 7 Réservé.

*Voir Standard SMF Record Header à la page 13-1 pour une description détaillée.

Offset (Dec.)=4 Offset(Hex)=4 Length=1 Format=binary

SMF80RTY

Type d’enregistrement 80 (X’50’).

Offset (Dec.)=5 Offset(Hex)=5 Length=1 Format=binary

SMF80TME

Temps écoulé depuis minuit, en centièmes de seconde, depuis que l’enregistrement a été déplacé dans le tampon SMF.

Offset (Dec.)=6 Offset(Hex)=6 Length=4 Format=binary

SMF80DTE

Date à laquelle l’enregistrement a été déplacé dans le tampon SMF, sous la forme 0cyydddF. Voir Standard SMF Record Header à la page 13-1 pour une description détaillée.

Offset (Dec.)=10 Offset(Hex)=A Length=4 Format=packed

SMF80SID

Identification du système (à partir du paramètre SID).

Offset (Dec.)=14 Offset(Hex)=E Length=4 Format=EBCDIC

SMF80DES

Drapeaux de descripteur

Bit Signification Lorsqu’il est activé

  • 0 L’événement est une violation
  • 1 L’utilisateur n’est pas défini à RACF
  • 2 L’enregistrement contient un indicateur de version (voir SMF80VER)
  • 3 L’événement est un avertissement
  • 4 L’enregistrement contient un numéro de version, de version et de niveau de modification (voir SMF80VRM).
  • 5-15 Réservé.

Offset (Dec.)=18 Offset(Hex)=12 Length=2 Format=binary

SMF80EVT

Code d’événement. Pour plus d’informations sur les codes d’événement RACF, voir Macros et interfaces RACF du serveur de sécurité z/OS.

Offset (Dec.)=20 Offset(Hex)=14 Length=1 Format=binary

SMF80EVQ

Qualificateur de code d’événement. Pour plus d’informations sur les codes d’événement RACF, voir Macros et interfaces RACF du serveur de sécurité z/OS.

Offset (Dec.)=21 Offset(Hex)=15 Length=1 Format=binary

SMF80USR

Identifiant de l’utilisateur associé à cet événement (jobname est utilisé si l’utilisateur n’est pas défini à RACF).

Offset (Dec.)=22 Offset(Hex)=16 Length=8 Format=EBCDIC

SMF80GRP

Groupe auquel l’utilisateur a été connecté (stepname est utilisé si l’utilisateur n’est pas défini à RACF).

Offset (Dec.)=30 Offset(Hex)=1E Length=8 Format=EBCDIC

SMF80REL

Décalage de la première section de relocalisation à partir du début de l’en-tête de l’enregistrement.

Offset (Dec.)=38 Offset(Hex)=26 Length=2 Format=binary

SMF80CNT

Compte du nombre de sections relocalisées.

Offset (Dec.)=40 Offset(Hex)=28 Length=2 Format=binary

SMF80ATH

Autorités utilisées pour le traitement des commandes ou l’accès aux ressources Bit Signification. Lorsqu’il est défini à :

  • 0 Contrôle d’autorité normal (accès aux ressources)
  • 1 Attribut SPECIAL (traitement des commandes)
  • 2 Attribut OPERATIONS (accès aux ressources, traitement des commandes)
  • 3 Attribut AUDITOR (traitement des commandes)
  • 4 Traitement de sortie d’installation (accès aux ressources)
  • 5 Traitement Failsoft (accès aux ressources)
  • 6 Bypassed-userid = BYPASS (accès aux ressources)
  • 7 Attribut Trusted (accès aux ressources).

Offset (Dec.)=42 Offset(Hex)=2A Length=1 Format=binary

SMF80REA

Raison de la journalisation. Ces drapeaux indiquent la raison pour laquelle RACF a produit l’enregistrement:

  • SMF Bit Signification quand c’est définit sur 0 SETROPTS AUDIT(class) – les modifications de cette classe de profil sont auditées.
  • 1 Utilisateur faisant l’objet d’un audit
  • 2 Utilisateurs spéciaux faisant l’objet d’un audit
  • 3 L’accès à la ressource fait l’objet d’un audit en raison de l’option AUDIT (spécifiée lorsque le profil est créé ou modifié par une commande RACF), d’une demande de journalisation de la routine de sortie RACHECK, ou parce que l’opérateur a accordé l’accès pendant le traitement failsoft.
  • 4 Echec RACINIT
  • 5 Cette commande est toujours auditée
  • 6 Violation détectée dans la commande et CMDVIOL est en vigueur
  • 7 L’accès à l’entité est audité en raison de l’option GLOBALAUDIT.

Offset (Dec.)=43 Offset(Hex)=2B Length=1 Format=binary

SMF80TLV

Numéro de niveau de terminal de l’utilisateur de premier plan (zéro si non disponible).

Offset (Dec.)=44 Offset(Hex)=2C Length=1 Format=binary

SMF80ERR

Indicateur d’erreur de traitement des commandes – Bit Signification Lorsqu’il est activé:

  • 0 La commande comportait une erreur et le RACF n’a pas pu annuler certains changements
  • 1 Aucune mise à jour de profil n’a été effectuée en raison d’une erreur de traitement du RACF
  • 2-7 Réservé.

Offset (Dec.)=45 Offset(Hex)=2D Length=1 Format=binary

SMF80TRM

ID du terminal de l’utilisateur de premier plan (zéro si non disponible).

Offset (Dec.)=46 Offset(Hex)=2E Length=8 Format=EBCDIC

SMF80JBN

Nom du job. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro. Le nom du travail, l’heure et la date à laquelle le lecteur a reconnu la carte JOB (pour ce travail) constituent l’identification du journal du travail, ou le nom de la transaction (pour la sortie APPC).

ID du terminal de l’utilisateur de premier plan (zéro si non disponible).

Offset (Dec.)=54 Offset(Hex)=36 Length=8 Format=EBCDIC

SMF80RST

Temps depuis minuit, en centièmes de seconde, que le lecteur a reconnu l’instruction JOB pour ce job. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.

Offset (Dec.)=66 Offset(Hex)=3E Length=4 Format=binary

SMF80RSD

Date à laquelle le lecteur a reconnu le relevé JOB pour ce travail, sous la forme 0cyydddF. Voir En-tête d’enregistrement SMF standard à la page 13-1 pour une description détaillée. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.

Offset (Dec.)=66 Offset(Hex)=42 Length=4 Format=packed

SMF80UID

Champ d’identification de l’utilisateur provenant de la zone de paramètres de sortie commune SMF. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.

Offset (Dec.)=70 Offset(Hex)=46 Length=8 Format=EBCDIC

SMF80VER

Indicateur de version (8 = version 1, version 8 ou ultérieure). À partir de RACF 1.8.1, SMF80VRM est utilisé à la place.

Offset (Dec.)=78 Offset(Hex)=4E Length=1 Format=binary

SMF80RE2

Motifs supplémentaires de journalisation Bit Signification Lorsqu’il est défini sur :

  • 0 Contrôle du niveau de sécurité pour l’audit
  • 1 Audit VMEVENT
  • 2 Classe faisant l’objet d’un audit en raison de SETROPTS LOGOPTIONS
  • 3 Entité auditée en raison de SETROPTS SECLABELAUDIT
  • 4 Réservé.
  • 5-7 Réservé.

Offset (Dec.)=79 Offset(Hex)=4F Length=1 Format=binary

SMF80VRM

Numéro de version et de niveau de modification de RACF sous la forme VRRM (par exemple, 1081 représente RACF 1.8.1).

Offset (Dec.)=80 Offset(Hex)=50 Length=4 Format=EBCDIC

SMF80SEC

Label de sécurité de l’utilisateur.

Offset (Dec.)=84 Offset(Hex)=54 Length=8 Format=EBCDIC

SMF80RL2

Décalage vers les sections de relocalisation à longueur étendue.

Offset (Dec.)=92 Offset(Hex)=5C Length=2 Format=binary

SMF80CT2

Nombre de sections de relocalisation de longue durée.

Offset (Dec.)=94 Offset(Hex)=5E Length=2 Format=binary

SMF80AU2

Autorité utilisée suite. Bit signification quand c’est définit sur:

  • 0 OpenEdition superuser
  • 1 OpenEdition fonction système
  • 2-7 Reservé.

Offset (Dec.)=96 Offset(Hex)=60 Length=1 Format=binary

SMF80RSV

Reservé

Offset (Dec.)=97 Offset(Hex)=61 Length=1 Format=binary

Relocaliser la section
(Décalage du début de l’enregistrement : SMF80REL)

SMF80DTP

Type de données. Pour une description des éléments de données variables de la section relocalisation, voir Macros et interfaces RACF du serveur de sécurité z/OS.

Offset (Dec.)=0 Offset(Hex)=0 Length=1 Format=binary

SMF80DLN

Longueur des données qui suivent.

Offset (Dec.)=1 Offset(Hex)=1 Length=1 Format=binary

SMF80DTA

Pour une description des éléments de données variables de la section relocalisation, voir Macros et interfaces RACF du serveur de sécurité z/OS.

Offset (Dec.)=2 Offset(Hex)=2 Length=variable Format=binary

Section de relocalisation de longueur étendue
(Décalage du début de l’enregistrement : SMF80RL2)

SMF80TP2

Type de données.

Offset (Dec.)=0 Offset(Hex)=0 Length=2 Format=binary

SMF80DL2

Longueur des données qui suivent.

Offset (Dec.)=2 Offset(Hex)=2 Length=2 Format=binary

SMF80DA2

Données

Offset (Dec.)=4 Offset(Hex)=4 Length=variable Format=EBCDIC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *