Ce tableau présente la disposition des logs SMF80 ou de type 80 (traitement des produits de sécurité (RACF)).
Liste des autres modèles de logs SMF disponibles ici.
Liste d’exemples de rapports SMF IBM.
Objectif : L’enregistrement de type 80 est produit pendant le traitement RACF (Resource Access Control Facility) et le traitement des Services PKI (Public Key Infrastructure).
- RACF écrit un enregistrement chaque fois que l’un des événements suivants est détecté :
- Tentatives non autorisées d’entrer dans le système
- Accès autorisés ou tentatives non autorisées d’accès à des ressources protégées par RACF
- Tentatives autorisées ou non de modifier des profils sur une base de données RACF
- Vérification réussie ou non du partenaire LU.
PKI Services écrit un enregistrement pour chaque CRL publiée avec succès dans LDAP. RACF et PKI Services écrivent un enregistrement pour chaque événement.
Logs SMF80 – Traitement du produit de sécurité (RACF)
SMF80LEN
Longueur de l’enregistrement. Ce champ et le suivant (total de quatre octets) forment le RDW (record descriptor word). Voir En-tête d’enregistrement SMF standard à la page 13-1 pour une description détaillée.
Offset (Dec.)=0 Offset(Hex)=0 Length=2 Format=binary
SMF80SEG
Descripteur de segment (voir le champ de longueur d’enregistrement).
Offset (Dec.)=2 Offset(Hex)=2 Length=2 Format=binary
SMF80FLG
Indicateur de système : Bit Signification Lorsqu’il est défini :
- 0-2 Réservé
- 3-6 Indicateurs de version* 7 Réservé.
*Voir Standard SMF Record Header à la page 13-1 pour une description détaillée.
Offset (Dec.)=4 Offset(Hex)=4 Length=1 Format=binary
SMF80RTY
Type d’enregistrement 80 (X’50’).
Offset (Dec.)=5 Offset(Hex)=5 Length=1 Format=binary
SMF80TME
Temps écoulé depuis minuit, en centièmes de seconde, depuis que l’enregistrement a été déplacé dans le tampon SMF.
Offset (Dec.)=6 Offset(Hex)=6 Length=4 Format=binary
SMF80DTE
Date à laquelle l’enregistrement a été déplacé dans le tampon SMF, sous la forme 0cyydddF. Voir Standard SMF Record Header à la page 13-1 pour une description détaillée.
Offset (Dec.)=10 Offset(Hex)=A Length=4 Format=packed
SMF80SID
Identification du système (à partir du paramètre SID).
Offset (Dec.)=14 Offset(Hex)=E Length=4 Format=EBCDIC
SMF80DES
Drapeaux de descripteur
Bit Signification Lorsqu’il est activé
- 0 L’événement est une violation
- 1 L’utilisateur n’est pas défini à RACF
- 2 L’enregistrement contient un indicateur de version (voir SMF80VER)
- 3 L’événement est un avertissement
- 4 L’enregistrement contient un numéro de version, de version et de niveau de modification (voir SMF80VRM).
- 5-15 Réservé.
Offset (Dec.)=18 Offset(Hex)=12 Length=2 Format=binary
SMF80EVT
Code d’événement. Pour plus d’informations sur les codes d’événement RACF, voir Macros et interfaces RACF du serveur de sécurité z/OS.
Offset (Dec.)=20 Offset(Hex)=14 Length=1 Format=binary
SMF80EVQ
Qualificateur de code d’événement. Pour plus d’informations sur les codes d’événement RACF, voir Macros et interfaces RACF du serveur de sécurité z/OS.
Offset (Dec.)=21 Offset(Hex)=15 Length=1 Format=binary
SMF80USR
Identifiant de l’utilisateur associé à cet événement (jobname est utilisé si l’utilisateur n’est pas défini à RACF).
Offset (Dec.)=22 Offset(Hex)=16 Length=8 Format=EBCDIC
SMF80GRP
Groupe auquel l’utilisateur a été connecté (stepname est utilisé si l’utilisateur n’est pas défini à RACF).
Offset (Dec.)=30 Offset(Hex)=1E Length=8 Format=EBCDIC
SMF80REL
Décalage de la première section de relocalisation à partir du début de l’en-tête de l’enregistrement.
Offset (Dec.)=38 Offset(Hex)=26 Length=2 Format=binary
SMF80CNT
Compte du nombre de sections relocalisées.
Offset (Dec.)=40 Offset(Hex)=28 Length=2 Format=binary
SMF80ATH
Autorités utilisées pour le traitement des commandes ou l’accès aux ressources Bit Signification. Lorsqu’il est défini à :
- 0 Contrôle d’autorité normal (accès aux ressources)
- 1 Attribut SPECIAL (traitement des commandes)
- 2 Attribut OPERATIONS (accès aux ressources, traitement des commandes)
- 3 Attribut AUDITOR (traitement des commandes)
- 4 Traitement de sortie d’installation (accès aux ressources)
- 5 Traitement Failsoft (accès aux ressources)
- 6 Bypassed-userid = BYPASS (accès aux ressources)
- 7 Attribut Trusted (accès aux ressources).
Offset (Dec.)=42 Offset(Hex)=2A Length=1 Format=binary
SMF80REA
Raison de la journalisation. Ces drapeaux indiquent la raison pour laquelle RACF a produit l’enregistrement:
- SMF Bit Signification quand c’est définit sur 0 SETROPTS AUDIT(class) – les modifications de cette classe de profil sont auditées.
- 1 Utilisateur faisant l’objet d’un audit
- 2 Utilisateurs spéciaux faisant l’objet d’un audit
- 3 L’accès à la ressource fait l’objet d’un audit en raison de l’option AUDIT (spécifiée lorsque le profil est créé ou modifié par une commande RACF), d’une demande de journalisation de la routine de sortie RACHECK, ou parce que l’opérateur a accordé l’accès pendant le traitement failsoft.
- 4 Echec RACINIT
- 5 Cette commande est toujours auditée
- 6 Violation détectée dans la commande et CMDVIOL est en vigueur
- 7 L’accès à l’entité est audité en raison de l’option GLOBALAUDIT.
Offset (Dec.)=43 Offset(Hex)=2B Length=1 Format=binary
SMF80TLV
Numéro de niveau de terminal de l’utilisateur de premier plan (zéro si non disponible).
Offset (Dec.)=44 Offset(Hex)=2C Length=1 Format=binary
SMF80ERR
Indicateur d’erreur de traitement des commandes – Bit Signification Lorsqu’il est activé:
- 0 La commande comportait une erreur et le RACF n’a pas pu annuler certains changements
- 1 Aucune mise à jour de profil n’a été effectuée en raison d’une erreur de traitement du RACF
- 2-7 Réservé.
Offset (Dec.)=45 Offset(Hex)=2D Length=1 Format=binary
SMF80TRM
ID du terminal de l’utilisateur de premier plan (zéro si non disponible).
Offset (Dec.)=46 Offset(Hex)=2E Length=8 Format=EBCDIC
SMF80JBN
Nom du job. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro. Le nom du travail, l’heure et la date à laquelle le lecteur a reconnu la carte JOB (pour ce travail) constituent l’identification du journal du travail, ou le nom de la transaction (pour la sortie APPC).
ID du terminal de l’utilisateur de premier plan (zéro si non disponible).
Offset (Dec.)=54 Offset(Hex)=36 Length=8 Format=EBCDIC
SMF80RST
Temps depuis minuit, en centièmes de seconde, que le lecteur a reconnu l’instruction JOB pour ce job. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.
Offset (Dec.)=66 Offset(Hex)=3E Length=4 Format=binary
SMF80RSD
Date à laquelle le lecteur a reconnu le relevé JOB pour ce travail, sous la forme 0cyydddF. Voir En-tête d’enregistrement SMF standard à la page 13-1 pour une description détaillée. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.
Offset (Dec.)=66 Offset(Hex)=42 Length=4 Format=packed
SMF80UID
Champ d’identification de l’utilisateur provenant de la zone de paramètres de sortie commune SMF. Pour les enregistrements RACINIT de travaux par lots, ce champ peut être égal à zéro.
Offset (Dec.)=70 Offset(Hex)=46 Length=8 Format=EBCDIC
SMF80VER
Indicateur de version (8 = version 1, version 8 ou ultérieure). À partir de RACF 1.8.1, SMF80VRM est utilisé à la place.
Offset (Dec.)=78 Offset(Hex)=4E Length=1 Format=binary
SMF80RE2
Motifs supplémentaires de journalisation Bit Signification Lorsqu’il est défini sur :
- 0 Contrôle du niveau de sécurité pour l’audit
- 1 Audit VMEVENT
- 2 Classe faisant l’objet d’un audit en raison de SETROPTS LOGOPTIONS
- 3 Entité auditée en raison de SETROPTS SECLABELAUDIT
- 4 Réservé.
- 5-7 Réservé.
Offset (Dec.)=79 Offset(Hex)=4F Length=1 Format=binary
SMF80VRM
Numéro de version et de niveau de modification de RACF sous la forme VRRM (par exemple, 1081 représente RACF 1.8.1).
Offset (Dec.)=80 Offset(Hex)=50 Length=4 Format=EBCDIC
SMF80SEC
Label de sécurité de l’utilisateur.
Offset (Dec.)=84 Offset(Hex)=54 Length=8 Format=EBCDIC
SMF80RL2
Décalage vers les sections de relocalisation à longueur étendue.
Offset (Dec.)=92 Offset(Hex)=5C Length=2 Format=binary
SMF80CT2
Nombre de sections de relocalisation de longue durée.
Offset (Dec.)=94 Offset(Hex)=5E Length=2 Format=binary
SMF80AU2
Autorité utilisée suite. Bit signification quand c’est définit sur:
- 0 OpenEdition superuser
- 1 OpenEdition fonction système
- 2-7 Reservé.
Offset (Dec.)=96 Offset(Hex)=60 Length=1 Format=binary
SMF80RSV
Reservé
Offset (Dec.)=97 Offset(Hex)=61 Length=1 Format=binary
Relocaliser la section
(Décalage du début de l’enregistrement : SMF80REL)
SMF80DTP
Type de données. Pour une description des éléments de données variables de la section relocalisation, voir Macros et interfaces RACF du serveur de sécurité z/OS.
Offset (Dec.)=0 Offset(Hex)=0 Length=1 Format=binary
SMF80DLN
Longueur des données qui suivent.
Offset (Dec.)=1 Offset(Hex)=1 Length=1 Format=binary
SMF80DTA
Pour une description des éléments de données variables de la section relocalisation, voir Macros et interfaces RACF du serveur de sécurité z/OS.
Offset (Dec.)=2 Offset(Hex)=2 Length=variable Format=binary
Section de relocalisation de longueur étendue
(Décalage du début de l’enregistrement : SMF80RL2)
SMF80TP2
Type de données.
Offset (Dec.)=0 Offset(Hex)=0 Length=2 Format=binary
SMF80DL2
Longueur des données qui suivent.
Offset (Dec.)=2 Offset(Hex)=2 Length=2 Format=binary
SMF80DA2
Données
Offset (Dec.)=4 Offset(Hex)=4 Length=variable Format=EBCDIC