FM/Db2 が監査ログ・レコードを書き込むかどうかを判断する方法

特定の FM/Db2 機能および指定された TSO ログオン ID について、監査レコードを書き込むかどうかの判断は、以下の 3 ステップのプロセスに従って行われます。

  1. ステップ 1.
    • 監査が parmlib によって制御される場合、FMN メンバーの FMN2PARMAUDIT 指定は次のように使用されます。

      FMN2PARM メンバー (SYS1.PARMLIB または論理 parmlib 連結のその他のライブラリー) の FMAUDIT 指定設定が、SAF 規則で制御される監査の「メイン」のスイッチです。TSO ログオン ID ごとに異なる FMN2PARM メンバー設定を指定できる機能があることに注意してください。詳しくは、PARMLIB メンバーで指定されている File Manager オプションを参照してください。TSO ログオン ID ごとに、2 とおりの設定が可能です。

      SAF_CTRL=NO
      SAF 規則で制御される監査が有効ではありません。監査は、FMN2POPT モジュールの設定によって決まります。FM/Db2 監査機能のカスタマイズを参照してください。
      SAF_CTRL=YES
      SAF 規則で制御される監査が有効です。処理はステップ 2 に続きます。
    • 論理 parmlib 連結にアクセスしない方法を使用して監査が制御される場合、TSO ログオン ID には SAF FACILITY 規則 FILEM.SAFAUDIT.DB2 への READ アクセス権限があります。処理はステップ 2 に続きます。
  2. ステップ 2.

    ユーザーに、監査レコードを書き込むアクセス権限があるか。

    これは、FM/Db2 監査 FACILITY クラス・リソース名 の規則 1 および 2 に対するユーザーのアクセス権限で判断されます。さまざまな結果を ユーザーが監査ログ・レコードを書き込めるかどうかの判断 にまとめます。
    1. ユーザーが監査ログ・レコードを書き込めるかどうかの判断

    この表には 6 つの列があります。
    TODSN アクセス1 TOSMF アクセス2 OPTION アクセス3 監査レコードを書き込めるか 要求ロギングか 「Create audit trail (監査証跡の作成)」オプション4
    NONE NONE ANY なし なし 非表示
    READ NONE NONE はい、データ・セットのみ なし 非表示
    READ NONE READ はい、データ・セットのみ なし 表示可能
    UPDATE NONE NONE はい、データ・セットのみ あり 非表示
    UPDATE NONE READ はい、データ・セットのみ あり 表示可能
    NONE READ NONE はい、SMF のみ なし 非表示
    NONE READ READ はい、SMF のみ なし 表示可能
    READ READ NONE はい、受け入れ先データ・セットおよび SMF なし 非表示
    READ READ READ はい、受け入れ先データ・セットおよび SMF なし 表示可能
    UPDATE READ NONE はい、受け入れ先データ・セットおよび SMF あり 非表示
    UPDATE READ READ はい、受け入れ先データ・セットおよび SMF あり 表示可能

    ユーザーが監査ログ・レコードを書き込めない場合、ステップ 3 の SAF リソース名の確認は行われません。

    ステップ 2 の監査ログ・レコードを書き込むユーザーのアクセス権限は、監査が行われる可能性があることを示すだけです。最終的には、特定の FM/Db2 機能に適用される XFACILIT リソース名 (複数可) に対するユーザーのアクセス・レベルによって決定されます。

  3. ステップ 3.

    ユーザーに、現行機能の監査レコードを書き込むアクセス権限があるか。

    FM/Db2 で、監査レコードを書き込むかどうかの判断に使用される XFACILIT リソース名は、実行中の FM/Db2 機能に依存します。

    FM/Db2 機能で発行できる SQL ステートメントおよび Db2® コマンドのタイプをFM/Db2 機能で発行される SQL (および Db2) ステートメント に示します。

    さまざまな SQL ステートメントまたは Db2® コマンドと XFACILIT リソース名との関係をSQL ステートメント・タイプと SAF リソース名との関係に示します。
2. FM/Db2 機能で発行される SQL (および Db2®) ステートメント
FM/Db2 機能 オプション番号 SQL/DB2 ステートメント
Browse (参照) B SELECT
表示 1 SELECT
Edit (編集) 2 SELECT、DELETE、INSERT、UPDATE
Print (印刷) 3.1 SELECT
Db2® オブジェクト 3.2 CREATE、DROP
コピー 3.3

SELECT (source object)
DELETE (target object)
INSERT (target object)
UPDATE (target object)
オブジェクト・リスト 3.4 DROP、GRANT、REVOKE、FREE、BIND、REBIND
オブジェクト特権 3.5 GRANT、REVOKE
インポート 3.6 DELETE、INSERT、UPDATE
エクスポート 3.7 SELECT
作成 3.8 INSERT
基本選択プロトタイピング 4.1 SELECT (任意のエディター・モード)、DELETE、INSERT、および UPDATE (「Arbitrary SQL Select Statements (任意 SQL SELECT ステートメント)」のエディター・オプションが編集用に設定されている場合のみ)
拡張選択プロトタイピング 4.2 SELECT (任意のエディター・モード)、DELETE、INSERT、および UPDATE (「Arbitrary SQL Select Statements (任意 SQL SELECT ステートメント)」のエディター・オプションが編集用に設定されている場合のみ)
SQL の入力、実行、説明 4.3 SELECT ステートメントについては、「基本選択プロトタイピング」に準じる。発行可能なその他の任意の SQL ステートメント
SQL の編集/実行 (データ・セット) 4.4 SELECT ステートメントについては、「基本選択プロトタイピング」に準じる。発行可能なその他の任意の SQL ステートメント
Db2® コマンド 6

-ACCESS
-ALTER
-ARCHIVE
-CANCEL
-DISPLAY
-MODIFY
-RECOVER
-REFRESH
-RESET
-SET
-START
-STOP
-TERM
3. SQL ステートメント・タイプと SAF リソース名との関係

この表には、2 つの列があります。
SQL ステートメント・タイプ 監査リソース名接尾部5
ALTER DDL.<object_type>6
COMMENT OTHER.ADHOCSQL
COMMIT OTHER.ADHOCSQL
CREATE DDL.<object_type>6
DELETE UPDATE.ADHOCSQL
DROP DDL.<object_type>6
EXCHANGE OTHER.ADHOCSQL
EXPLAIN OTHER.ADHOCSQL
GRANT AUTH.<auth_type>7
INSERT UPDATE.ADHOCSQL
LABEL OTHER.ADHOCSQL
LOCK OTHER.ADHOCSQL
MERGE OTHER.ADHOCSQL
REFRESH OTHER.ADHOCSQL
RENAME DDL.<object_type>6
REVOKE AUTH.<auth_type>7
ROLLBACK OTHER.ADHOCSQL
SELECT

READ.<object>8
UPDATE.<object>9
READ.ADHOCSQL10 11
UPDATE.ADHOCSQL12  11
SET OTHER.ADHOCSQL
TRUNCATE UPDATE.ADHOCSQL
UPDATE UPDATE.ADHOCSQL

一部の FM/Db2 機能では、監査ログ・レコードを書き込むかどうかを判断するために、検査する必要がある SAF XFACILIT 規則が 1 つだけです。例えば、単一の Db2® オブジェクトを READ または UPDATE モードで処理する FM/Db2 エディターが当てはまります。

その他の FM/Db2 機能では、複数の SAF XFACILIT 規則が検査されます。

例 1: FM/Db2 コピー・ユーティリティー

  • READ アクセスの監査レコードをソース Db2® オブジェクトに書き込むためのアクセス権限が検査されます。
  • UPDATE アクセスの監査レコードをターゲット Db2® オブジェクトに書き込むためのアクセス権限が検査されます。

例 2: FM/Db2 SQL の編集/実行 (データ・セット) ユーティリティー

このユーティリティーを使用して、データ・セットにコーディングされている SQL ステートメントを実行できます。FM/Db2 は、データ・セットの各 SQL ステートメントが実行されるときに、監査レコードを書き込むためのアクセス権限を検査し、監査レコードは適切に書き込まれます (または書き込まれません)。

1 FM/Db2 監査 FACILITY クラス・リソース名 の SAF FACILITY 規則 1 に対するユーザーのアクセス・レベルを参照。
2 FM/Db2 監査 FACILITY クラス・リソース名 の SAF FACILITY 規則 2 に対するユーザーのアクセス・レベルを参照。
3 FM/Db2 監査 FACILITY クラス・リソース名 の SAF FACILITY 規則 3 に対するユーザーのアクセス・レベルを参照。
4 「Create audit trail (監査証跡の作成)」オプションが表示されることは、ユーザーが監査ログ・レコードを書き込めるかどうかに影響を与えませんが、このオプションを表示するには、監査ログ・レコードを (データ・セットまたは SMF のいずれかに) 書き込めるアクセス権限が必要です。
5 この表にあるすべてのリソース名の接頭部は、FILEM.AUDIT.<ssid> です。ここで、ssid は Db2® サブシステムまたはグループ ID です。
6 Db2 オブジェクト・タイプのリソース名接尾部 (DDL SQL ステートメント)を参照してください。
7 Db2 特権のリソース名接尾部 (GRANT および REVOKE SQL ステートメント)を参照してください。
8 This resource name is used when processing a Db2® object via options B and 1.
9 This resource name is used when processing a Db2® object using option 2.
10 This resource name is used when processing a Db2® object (or objects) using a SELECT statement entered via options 4.1, 4.2, 4.3 or 4.4, when FM/Db2 browse or view is used to display the result table for the SELECT.
11 The choice of FM/Db2 editor mode (browse, view or edit) is determined by the setting of the "Arbitrary SQL Select Statements", Editor option, which can be found on the second FM/Db2 system options panel. This is accessed by typing 0.0.2 from the FM/Db2 main menu.
12 This resource name is used when processing a Db2® object (or objects) using a SELECT statement entered via options 4.1, 4.2, 4.3 or 4.4, when FM/Db2 edit is used to display the result table for the SELECT.