Db2® オブジェクトに対する更新アクセスの監査の制御
SAF を使用して、Db2® オブジェクトを更新する、または更新する可能性がある FM/Db2 機能の監査ログ・レコードを FM/Db2 が書き込むかどうかを制御できます。このような機能の例を示します。
- 編集モードで作動している FM/Db2 エディター (表示またはブラウズは除きます)
- ターゲット Db2® オブジェクトの FM/Db2 コピー
- ターゲット Db2® オブジェクトの FM/Db2 インポート
- FM/Db2 データ作成
FM/Db2 監査 XFACILIT クラス・リソース名 には、FM/Db2 監査ログの制御に使用される SAF XFACILIT クラスのリソース名が示されています。
例 1
- TSO ログオン ID MAINT1 を除くすべてのユーザーについて、Db2® システム DSNA の DSN8910.EMP に対する更新アクセスの監査ロギングを使用可能にします。
以下の RACF® 規則を作成できます。
RDEL XFACILIT FILEM.AUDIT.DSNA.UPDATE.OBJ.DSN8910.EMP1
RDEF XFACILIT FILEM.AUDIT.DSNA.UPDATE.OBJ.DSN8910.EMP +
OWNER(XXXXXXXX) UACC(READ)2
PE FILEM.AUDIT.DSNA.UPDATE.OBJ.DSN8910.EMP +
CLASS(XFACILIT) ID(MAINT1) ACC(NONE)3例 2
- リモート・オブジェクト DSN8910.EMP に対する更新アクセスの監査ロギングを使用可能にします。このオブジェクトは、Db2® システム DSNA からアクセスされます。リモート Db2® システムの場所は TEXAS です。監査ロギングは、SERVIC1、SERVIC2 を除くすべてのユーザーについて実行されます。
以下の RACF® 規則を作成できます。
RDEL XFACILIT FILEM.AUDIT.DSNA.UPDATE.REMOBJ.TEXAS.DSN8910.EMP1
RDEF XFACILIT FILEM.AUDIT.DSNA.UPDATE.REMOBJ.TEXAS.DSN8910.EMP +
OWNER(XXXXXXXX) UACC(READ)4
PE FILEM.AUDIT.DSNA.UPDATE.REMOBJ.TEXAS.DSN8910.EMP +
CLASS(XFACILIT) ID(SERVIC1) ACC(NONE)5
PE FILEM.AUDIT.DSNA.UPDATE.REMOBJ.TEXAS.DSN8910.EMP +
CLASS(XFACILIT) ID(SERVIC2) ACC(NONE)51 既存の XFACILIT ルールを削除します
2 Db2® システム DSNA および Db2® オブジェクト (OBJ) DSN8910.EMP への UPDATE アクセス用の XFACILIT ルールを定義します。 UACC(READ) を使用すると、すべての TSO ユーザー ID が監査ログ レコードを書き込むことができます (オーバーライドするより具体的なルールがない場合)。
3 監査ログ レコードの書き込みを防止するための、Logonid MAINT1 の特定のルール。
4 Db2® システム DSNA およびリモート Db2® オブジェクト (REMOBJ) TEXAS.DSN8910.EMP への UPDATE アクセス用の XFACILIT ルールを定義します。 UACC(READ) を使用すると、すべての TSO ユーザー ID が監査ログ レコードを書き込むことができます (オーバーライドするより具体的なルールがない場合)。
5 監査ログ レコードの書き込みを防止するための、ログオン ID SERVIC1、SERVIC2 の特定のルール。