File Manager Base 監査を制御するための代替手段

File Manager 監査はオプション機能です。この機能を実装することは必須ではありません。File Manager 監査が実装されていなければ、File Manager が動作します。以下の事項を考慮する必要があります。

  • File Manager を使用するデータ・セットや他のリソースへのユーザー・アクセスに監査が必要かどうか。
  • File Manager 監査ログ・レコードが提供できる情報。
  • File Manager 監査ログ・レコードが提供できない情報。その情報を得るために考えられる代替手段。
  • File Manager 監査を使用することにした場合に、大きな監査ログ・データ・セットに関する問題や追加 SMF レコードに関する問題を処理する方法。
  • File Manager 監査ログ・レコードにより提供された情報の使用方法。

ご使用のサイトでデータ・セットに対するユーザーの読み取りアクセスのレコードが必要な場合は、一部またはすべてのユーザーによるアクセスをログに記録するように RACF® などの外部セキュリティー製品を構成します。外部セキュリティー製品はよりよい代替手段と考えられます。

データ・セットに対する読み取りアクセスの File Manager 監査では、レコードが処理されるたびに監査ログ・レコードが作成されるのではなく、データ・セット名や処理レコード数が監査ログに書き込まれます。

通常、データ・セットに対する変更の File Manager 監査では、2 つのログ・レコード (変更前のレコードと変更後のレコード) が作成されます。多くの更新アクティビティーが実行されるデータ・セットに対する変更をログに記録する予定の場合は、多くの監査ログ・レコードが作成されることでパフォーマンスに及ぼされる影響や、生成されることになる監査ログ・データ・セットのサイズを考慮する必要があります。

File Manager 監査アクティビティーの監査には、2 つの選択肢があります。

FMN0POPT で制御された監査
FMN0POPT で制御される監査で使用できる機能により、ユーザーの監査ログ・データ・セットへの監査、セッションの完了時の監査ログの自動 (必須) 印刷を行うユーザーの監査ログ・データ・セットへの監査、または SMF への監査を指定できます。この監査は、File Manager エディターを使用して行われた変更にのみ適用されます。
SAF 規則で制御された監査
これは、RACF® (または同等の製品) などの外部セキュリティー製品で定義するさまざまな SAF FACILITY および XFACILIT リソース規則に依存します。
SAF 規則で制御される監査で使用可能な機能を要約した事項を以下に示します。
  • すべての File Manager 機能に対して監査を (オプションで) 指定できます。
  • TSO ユーザー ID ごとに、異なる監査要件を指定できます。
  • 別々のリソースへのアクセスに対して、異なる監査要件を指定できます。
  • File Manager ユーザーに File Manager 編集機能の「Create audit trail (監査証跡の作成)」オプションを提供できます。これも SAF 規則で制御されます。「Create audit trail (監査証跡の作成)」オプションがあっても、必ずしもユーザーが監査をオフに切り替えることができるわけではありません。これは、該当する SAF リソース名に対してユーザーが持っているアクセス権限のレベルに依存します。ユーザーが「Create audit trail (監査証跡の作成)」オプションにアクセスできる場合、関連する SAF リソース規則で監査が要求されていなくても、常に監査をオンにできます。
  • ユーザーの監査ログ・データ・セットへの監査、セッション完了時に監査ログの自動 (必須) 印刷を行うユーザーの監査ログ・データ・セットへの監査、または SMF への監査を指定できます。重複ロギング (ユーザーの監査ログ・データ・セットと SMF に対するロギング) も指定できます。
考慮すべきその他の事項を以下に示します。
  • ユーザーの監査ログ・データ・セットへの監査では、多数の監査ログ・データ・セットが作成されることがあります。ディスク・スペースに影響を与える可能性があります。監査ログ・データ・セットの自動パージまたはアーカイブの実装を検討することが必要になる場合があります。
  • SMF (のみ) への監査は追加のセットアップを必要としますが、ユーザーの監査ログ・データ・セットへの監査ロギングよりも信頼性が高く、安全な、監査情報収集環境を提供します。
  • SAF 規則で制御される監査を実装する場合は、File Manager 監査を使用可能にする方法を決定する必要があります。これについて詳しくは、File Managerの File Manager Base component 監査機能のカスタマイズを参照してください。代替手段は 2 つあります。その 1 つでは、監査を使用可能にする SAF 規則が必要であり、SYS1.PARMLIB に属するメンバーが存在していなければなりません。もう 1 つでは、監査を使用可能にする SAF 規則が必要ですが、SYS1.PARMLIB に属するメンバーは不要です。SYS1.PARMLIB に属するメンバーを使用する場合は、SYS1.PARMLIB を使用する必要がない代替手段に比べて追加機能を使用できます。その追加機能については、PARMLIB メンバーで指定されている File Manager オプションを参照してください。

ご使用のインストール済み環境に適した監査タイプを決定したら、File Managerの File Manager Base component 監査機能のカスタマイズの手順に従います。

選択する監査の方法は、ADFzCC server サーバーを使用している場合は RDz および Eclipse プラグイン・ユーザーにも適用されます。