27_SH43-0144-00 (1038594), страница 65
Текст из файла (страница 65)
Структура записей аудита для событий SYSADMINtimestamp=1998-06-24-11.54.04.129923;category=SYSADMIN;audit event=DB2AUDIT;event correlator=1;event status=0;userid=boss;authid=BOSS;application id=*LOCAL.boss.980624155404;application name=db2audit;НАЗВАНИЕФОРМАТОПИСАНИЕTimestampCHAR(26)Дата и время события аудита.CategoryCHAR(8)Категория события аудита. Возможны следующие значения:SYSADMINAudit EventVARCHAR(32)Конкретное событие аудита.Допустимые значения показаны в списке, приведенном последанной таблицы.Event CorrelatorINTEGERИдентификатор коррелятора событий для операции аудита.Может использоваться для идентификации записей аудита,связываемых с отдельным событием.Event StatusINTEGERСостояние события аудита, представленное SQLCODE:для успешного события > = 0для неудачного события < 0Database NameCHAR(8)Имя базы данных, для которой было сгенерировано событие.Поле пустое, если было сгенерировано событие аудита уровняэкземпляра.User IDVARCHAR(1024)ID пользователя на момент события.Authorization IDVARCHAR(128)ID авторизации на момент события.Origin Node NumberSMALLINTНомер узла, на котором произошло событие аудита.Coordinator NodeNumberSMALLINTНомер узла координатора.Application IDVARCHAR (255)ID программы, используемый на момент события аудита.Application NameVARCHAR (1024)Имя программы, используемое на момент события аудита.Package SchemaVARCHAR (128)Схема пакета, используемая на момент события аудита.Package NameVARCHAR (128)Имя пакета, используемое на момент события аудита.Package SectionNumberSMALLINTНомер раздела в пакете, используемого на момент событияаудита.Ниже приведен список возможных событий аудита SYSADMIN:Глава 6.
Аудит действий DB2301Таблица 11. События аудита SYSADMIN||||||||||||||||||||||||||||||||||||||||||START_DB2STOP_DB2CREATE_DATABASEDROP_DATABASEUPDATE_DBM_CFGUPDATE_DB_CFGCREATE_TABLESPACEDROP_TABLESPACEALTER_TABLESPACERENAME_TABLESPACECREATE_NODEGROUPDROP_NODEGROUPALTER_NODEGROUPCREATE_BUFFERPOOLDROP_BUFFERPOOLALTER_BUFFERPOOLCREATE_EVENT_MONITORDROP_EVENT_MONITORENABLE_MULTIPAGEMIGRATE_DB_DIRDB2TRCDB2SETACTIVATE_DBADD_NODEBACKUP_DBCATALOG_NODECATALOG_DBCATALOG_DCS_DBCHANGE_DB_COMMENTDEACTIVATE_DBDROP_NODE_VERIFYFORCE_APPLICATIONGET_SNAPSHOTLIST_DRDA_INDOUBT_TRANSACTIONSMIGRATE_DBRESET_ADMIN_CFGRESET_DB_CFGRESET_DBM_CFGRESET_MONITORRESTORE_DB302Руководство администратора: РеализацияROLLFORWARD_DBSET_RUNTIME_DEGREESET_TABLESPACE_CONTAINERSUNCATALOG_DBUNCATALOG_DCS_DBUNCATALOG_NODEUPDATE_ADMIN_CFGUPDATE_MON_SWITCHESLOAD_TABLEDB2AUDITSET_APPL_PRIORITYCREATE_DB_AT_NODEKILLDBMMIGRATE_SYSTEM_DIRECTORYDB2REMOTDB2AUDMERGE_DBM_CONFIG_FILEUPDATE_CLI_CONFIGURATIONOPEN_TABLESPACE_QUERYSINGLE_TABLESPACE_QUERYCLOSE_TABLESPACE_QUERYFETCH_TABLESPACEOPEN_CONTAINER_QUERYFETCH_CONTAINER_QUERYCLOSE_CONTAINER_QUERYGET_TABLESPACE_STATISTICSDESCRIBE_DATABASEESTIMATE_SNAPSHOT_SIZEREAD_ASYNC_LOG_RECORDPRUNE_RECOVERY_HISTORYUPDATE_RECOVERY_HISTORYQUIESCE_TABLESPACEUNLOAD_TABLEUPDATE_DATABASE_VERSIONCREATE_INSTANCEDELETE_INSTANCESET_EVENT_MONITORGRANT_DBADMREVOKE_DBADMGRANT_DB_AUTHORITIESREVOKE_DB_AUTHORITIESREDIST_NODEGROUPТаблица 12.
Структура записей аудита для событий VALIDATEtimestamp=1998-06-24-08.42.11.527490;category=VALIDATE;audit event=CHECK_GROUP_MEMBERSHIP;event correlator=2;event status=-1092;database=FOO;userid=boss;authid=BOSS;execution id=newton;application id=*LOCAL.newton.980624124210;application name=testapp;auth type=SERVER;НАЗВАНИЕФОРМАТОПИСАНИЕTimestampCHAR(26)Дата и время события аудита.CategoryCHAR(8)Категория события аудита. Возможны следующие значения:VALIDATEAudit EventVARCHAR(32)Конкретное событие аудита.Допустимые значения: GET_GROUPS, GET_USERID,AUTHENTICATE_PASSWORD и VALIDATE_USER.Event CorrelatorINTEGERИдентификатор коррелятора событий для операции аудита.Может использоваться для идентификации записей аудита,связываемых с отдельным событием.Event StatusINTEGERСостояние события аудита, представленное SQLCODE:для успешного события > = 0для неудачного события < 0Database NameCHAR(8)Имя базы данных, для которой было сгенерировано событие.Поле пустое, если было сгенерировано событие аудита уровняэкземпляра.User IDVARCHAR(1024)ID пользователя на момент события.Authorization IDVARCHAR(128)ID авторизации на момент события.Execution IDVARCHAR(1024)ID выполнения, используемый на момент события аудита.Origin Node NumberSMALLINTНомер узла, на котором произошло событие аудита.Coordinator NodeNumberSMALLINTНомер узла координатора.Application IDVARCHAR (255)ID программы, используемый на момент события аудита.Application NameVARCHAR (1024)Имя программы, используемое на момент события аудита.Authentication Type VARCHAR (32)Тип аутентификации на момент события аудита.Package SchemaVARCHAR (128)Схема пакета, используемая на момент события аудита.Package NameVARCHAR (128)Имя пакета, используемое на момент события аудита.Package SectionNumberSMALLINTНомер раздела в пакете, используемого на момент событияаудита.Глава 6.
Аудит действий DB2303Таблица 13. Структура записей аудита для событий CONTEXTtimestamp=1998-06-24-08.42.41.476840;category=CONTEXT;audit event=EXECUTE_IMMEDIATE;event correlator=3;database=FOO;userid=boss;authid=BOSS;application id=*LOCAL.newton.980624124210;application name=testapp;package schema=NULLID;package name=SQLC28A1;package section=203;text=create table audit(c1 char(10), c2 integer);НАЗВАНИЕФОРМАТОПИСАНИЕTimestampCHAR(26)Дата и время события аудита.CategoryCHAR(8)Категория события аудита. Возможны следующие значения:CONTEXTAudit EventVARCHAR(32)Конкретное событие аудита.Допустимые значения показаны в списке после таблицы.Event CorrelatorINTEGERИдентификатор коррелятора событий для операции аудита.Может использоваться для идентификации записей аудита,связываемых с отдельным событием.Database NameCHAR(8)Имя базы данных, для которой было сгенерировано событие.Поле пустое, если было сгенерировано событие аудита уровняэкземпляра.User IDVARCHAR(1024)ID пользователя на момент события.Authorization IDVARCHAR(128)ID авторизации на момент события.Origin Node NumberSMALLINTНомер узла, на котором произошло событие аудита.Coordinator NodeNumberSMALLINTНомер узла координатора.Application IDVARCHAR (255)ID программы, используемый на момент события аудита.Application NameVARCHAR (1024)Имя программы, используемое на момент события аудита.Package SchemaVARCHAR (128)Схема пакета, используемая на момент события аудита.Package NameVARCHAR (128)Имя пакета, используемое на момент события аудита.Package SectionNumberSMALLINTНомер раздела в пакете, используемого на момент событияаудита.Statement Text(оператор)CLOB (32 Кбайта)Текст оператора SQL, если он есть.
Пустое значение, еслитекст оператора SQL недоступен.Ниже приведен список возможных событий аудита CONTEXT:304Руководство администратора: РеализацияТаблица 14. События аудита CONTEXTCONNECTCONNECT_RESETATTACHDETACHDARI_STARTDARI_STOPBACKUP_DBRESTORE_DBROLLFORWARD_DBOPEN_TABLESPACE_QUERYFETCH_TABLESPACECLOSE_TABLESPACE_QUERYOPEN_CONTAINER_QUERYCLOSE_CONTAINER_QUERYFETCH_CONTAINER_QUERYSET_TABLESPACE_CONTAINERSGET_TABLESPACE_STATISTICREAD_ASYNC_LOG_RECORDQUIESCE_TABLESPACELOAD_TABLEUNLOAD_TABLEUPDATE_RECOVERY_HISTORYPRUNE_RECOVERY_HISTORYSINGLE_TABLESPACE_QUERYLOAD_MSG_FILEUNQUIESCE_TABLESPACEENABLE_MULTIPAGEDESCRIBE_DATABASEDROP_DATABASECREATE_DATABASEADD_NODEFORCE_APPLICATIONSET_APPL_PRIORITYRESET_DB_CFGGET_DB_CFGGET_DFLT_CFGUPDATE_DBM_CFGSET_MONITORGET_SNAPSHOTESTIMATE_SNAPSHOT_SIZERESET_MONITOROPEN_HISTORY_FILECLOSE_HISTORY_FILEFETCH_HISTORY_FILESET_RUNTIME_DEGREEUPDATE_AUDITDBM_CFG_OPERATIONDISCOVEROPEN_CURSORCLOSE_CURSORFETCH_CURSOREXECUTEEXECUTE_IMMEDIATEPREPAREDESCRIBEBINDREBINDRUNSTATSREORGREDISTRIBUTECOMMITROLLBACKREQUEST_ROLLBACKIMPLICIT_REBINDСоветы и приемы для работы с утилитой аудитаВ большинстве случаев при работе с событиями CHECKING в записи аудита вполе тип объекта выводится объект, для которого проверяется наличиетребуемой привилегии или полномочий у ID пользователя, пытающегосяполучить доступ к объекту.
Например, если пользователь пытается изменить(ALTER) таблицу, добавив в нее столбец, в записи аудита события CHECKINGбудет указано, что предпринят доступ “ALTER” и тип проверяемого объекта “TABLE” (таблица, а не столбец, поскольку должны проверяться привилегии натаблицу).Однако если в ходе проверки для ID пользователя проверяется наличиеполномочий на создание (CREATE), связывание (BIND) или удаление объектаГлава 6.
Аудит действий DB2305базы данных, в поле типа объекта будет задан создаваемый, связываемый илиотбрасываемый объект, а не сама база данных (хотя проверка и производитсядля базы данных).При создании индекса на таблице требуется привилегия на создание индекса,поэтому в записи события аудита CHECKING типом предпринимаемого доступабудет “index”, а не “create”.При связывании уже существующего пакета создается запись аудита событияOBJMAINT для отбрасывания (DROP) пакета, а затем другая запись аудитасобытия OBJMAINT - для создания (CREATE) новой копии базы данных.DDL (Data Definition Language - язык определения данных) SQL можетгенерировать события OBJMAINT или SECMAINT, которые записываются вжурнал как успешные. Однако ошибка, последовавшая после регистрациисобытия в журнале, может привести к откату (ROLLBACK).
При этом объектостается, в результате, не создан, или действия GRANT или REVOKE - невыполнены. В этом случае имеет смысл использовать события CONTEXT.Записи аудита события CONTEXT, особенно оператор в конце события, укажут,чем завершилась предпринятая операция.При извлечении записей аудита в формате ASCII с ограничителями, удобномдля загрузки в реляционную таблицу DB2, необходимо точно указатьиспользуемый ограничитель в текстовом поле оператора.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
