監査ロギングのためのシステム管理機能 (SMF) の使用

監査ロギングのために SMF を使用したい場合は、以下のことを行わなければなりません。

  • 監査ログ・レコード用に 128 から 255 の間の SMF レコード番号を選択し、それを SMF parmlib のメンバー SMFPRMxx に組み込みます。
  • この SMF レコード番号を次のいずれかの場所に指定します。
    • 該当する FMNxPOPT モジュールに対する FMN0POPI マクロ(注 1 を参照してください)。
    • SYS1.PARMLIB 内の FMNxPARM メンバー、または論理 PARMLIB 連結内のその他のライブラリー(注 2 を参照してください)。
  • ロード・モジュール FMNSMF が APF 許可であることを確認します。ロード・ライブラリー FMNSMF を許可するか、または FMN.SFMNMOD1 を別の許可ライブラリーにコピーして、FMNSMF を APF 許可にすることができます。FMN.SFMNMOD1 の許可に関して詳しくは、APF 許可での File Manager の実行を参照してください。
  • ロード・モジュール FMNSMF を SYS1.PARMLIB のメンバー IKJTSOxx の AUTHTSF リストに追加します。これを行わないと、SMF への記録を選択し、SMF レコード番号を指定しても、記録は行われません。
注:
  1. File Manager コンポーネントには、以下のようなカスタマイズ・モジュールがあります。
    FMN0POPT
    File Manager Base の場合
    FMN1POPT
    FM/IMS の場合
    FMN2POPT
    FM/Db2 の場合
    FMN3POPT
    FM/CICS の場合

    すべてのカスタマイズ・モジュールには、File Manager Optionsで説明されている FMN0POPI マクロ仕様が含まれています。 SMF レコード番号は FMN0POPI マクロの SMFNO パラメーターを使用して指定されます。SMFNO を参照してください。FMNxPOPT 制御された監査を使用しているか、または SYS1.PARMLIB 内のメンバーを使用せずに SAF 制御された監査を使用している場合は、FMNxPOPT メンバーに SMF レコード番号を指定する必要があります。

  2. File Manager コンポーネントの監査は、SYS1.PARMLIB のメンバーまたは論理 PARMLIB 連結内のその他のライブラリーを使用して制御できます。各コンポーネントのメンバー名は、以下のとおりです。
    
      FMN0PARM  For File Manager Base
      FMN1PARM  For FM/IMS
      FMN2PARM  For FM/Db2
      FMN3PARM  For FM/CICS

    SAF 制御された監査および SYS1.PARMLIB 内のメンバーを使用している場合は、FMNxPARM メンバーに SMF レコード番号を指定します。

File Manager が BPX1SMF サービスを使用するように以前にカスタマイズされていた場合は、監査対象のすべてのユーザーから SAF FACILITY クラス・プロファイル BPX.SMF へのアクセスを除去することを検討してください。

SYS1.PARMLIB メンバーに対して行った更新内容をアクティブにするには、システムを再始動するか、またはユーザー・サイトの該当するコマンドを使用して変更内容を動的にアクティブにしてください。

SMF について詳しくは、「z/OS MVS System Management Facilities (SMF)」を参照してください。

SMF によって収集された監査証跡情報をレポートするには、この情報を SMF からユーザー所有のデータ・セットに抽出しなければなりません。このデータ・セットの中の情報は、File Manager の監査証跡印刷ユーティリティーによって印刷できます。これを行うには、「Utilities (ユーティリティー)」メニューから Audit trail (監査証跡) オプションを選択します。

サンプル・ジョブ FMNSMFX が FMN.SFMNSAM1 の中に提供されており、SMF データをユーザー所有のデータ・セットに抽出するのに役立ちます。このジョブに対して行う必要のある変更については、そのジョブのコメントを参照してください。サンプル・ジョブを使用して、すべての File Manager コンポーネント (BaseFM/Db2FM/IMS、および FM/CICS) の監査ログ・レコードを抽出できます。サンプル・ジョブの実行に使用されたログオン ID は、実行が正常に行われるためには SYS1.MANx データ・セットへの読み取りアクセスが必要です。