7.1.3　監査証跡の取得契機

監査証跡の取得契機については，マニュアル「HiRDB システム運用ガイド」の「監査証跡の取得契機」を参照してください。

また，「表7-1　監査証跡の取得範囲」に示す操作をしたときにも監査証跡が取得されます。

〈この項の構成〉

(1)　ユティリティ・コマンド実行時の監査証跡の取得契機
(2)　データベース操作時の監査証跡の取得契機
(3)　データベース操作のユーザ要求と監査証跡レコードの関係
(4)　データベース操作のレコードの検索（FETCH）の取得オプション

(1)　ユティリティ・コマンド実行時の監査証跡の取得契機

(a)　pdsdbdefコマンド実行時の監査証跡の取得契機

pdsdbdefコマンドを実行した場合，次の表に示すタイミングで監査証跡が取得されます。

表7‒2　pdsdbdefコマンドを実行した場合の監査証跡の取得契機
項番	監査証跡の取得契機	監査対象のイベント	監査証跡の取得単位
1	権限チェック時	pdsdbdefコマンド実行時のCONNECT権限チェック	pdsdbdefコマンドが1回実行されると，監査証跡が1レコード取得されます。
2	イベントの終了時	SDBディクショナリ情報の操作	次のSDB定義文が1回実行されると，監査証跡が1レコード取得されます。 ENTRY DICTIONARY文 ALTER DICTIONARY文 *DELETE DICTIONARY文
3		データベース定義のチェック	次のSDB定義文が1回実行されると，監査証跡が1レコード取得されます。 *CHECK DICTIONARY文
4		SDBディレクトリ情報の操作	次のSDB定義文が1回実行されると，監査証跡が1レコード取得されます。 ENTRY DIRECTORY文 ALTER DIRECTORY文 *DELETE DIRECTORY文
5		SDBディレクトリ情報ファイルの作成	dirinf文を指定したpdsdbdefコマンドが1回実行されると，監査証跡が1レコード取得されます。
6		pdsdbdefコマンドの終了	pdsdbdefコマンドが1回実行されると，監査証跡が1レコード取得されます。

次に示す場合は，pdsdbdefコマンドに関する監査証跡は取得されません。

pdsdbdefコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
pdsdbdefコマンドのオプションまたは制御文の指定に誤りがあり，pdsdbdefコマンドがエラーとなった場合
上記の表の項番2〜5については，該当するリソースにアクセスした場合に限り監査証跡が取得されます。該当するリソースにアクセスする前にエラーが発生した場合は，該当する監査対象イベントの監査証跡は取得されません。

(b)　pdsdblodコマンド実行時の監査証跡の取得契機

pdsdblodコマンドを実行した場合，次の表に示すタイミングで監査証跡が取得されます。

表7‒3　pdsdblodコマンドを実行した場合の監査証跡の取得契機
項番	監査証跡の取得契機	監査対象のイベント	監査証跡の取得単位
1	権限チェック時	pdsdblodコマンド実行時のCONNECT権限チェック	pdsdblodコマンドが1回実行されると，監査証跡が1レコード取得されます。
2	イベントの終了時	pdsdblodコマンドの終了	pdsdblodコマンドが1回実行されると，監査証跡が1レコード取得されます。

次に示す場合は，pdsdblodコマンドに関する監査証跡は取得されません。

pdsdblodコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
pdsdblodコマンドのオプションまたは制御文の指定に誤りがあり，pdsdblodコマンドがエラーとなった場合

(c)　pdsdbrogコマンド実行時の監査証跡の取得契機

pdsdbrogコマンドを実行した場合，次の表に示すタイミングで監査証跡が取得されます。

表7‒4　pdsdbrogコマンドを実行した場合の監査証跡の取得契機
項番	監査証跡の取得契機	監査対象のイベント	監査証跡の取得単位
1	権限チェック時	pdsdbrogコマンド実行時のCONNECT権限チェック	pdsdbrogコマンドが1回実行されると，監査証跡が1レコード取得されます。
2	イベントの終了時	pdsdbrogコマンドの終了	pdsdbrogコマンドが1回実行されると，監査証跡が1レコード取得されます。

次に示す場合は，pdsdbrogコマンドに関する監査証跡は取得されません。

pdsdbrogコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
pdsdbrogコマンドのオプションまたは制御文の指定に誤りがあり，pdsdbrogコマンドがエラーとなった場合

(d)　pdsdbexeコマンド実行時の監査証跡の取得契機【4V FMB，4V AFM】

pdsdbexeコマンドを実行した場合，次の表に示すタイミングで監査証跡が取得されます。

表7‒5　pdsdbexeコマンドを実行した場合の監査証跡の取得契機
項番	監査証跡の取得契機	監査対象のイベント	監査証跡の取得単位
1	権限チェック時	pdsdbexeコマンド実行時のCONNECT権限チェック	pdsdbexeコマンドが1回実行されると，監査証跡が1レコード取得されます。
2	権限チェック時	pdsdbexeコマンドで実行するSQLコマンド	次のSQLコマンドが1回実行されると，監査証跡が1レコード取得されます。 CONNECTコマンド
3	イベントの終了時^※	pdsdbexeコマンド実行時のCONNECT操作	pdsdbexeコマンドが1回実行されると，監査証跡が1レコード取得されます。
4		pdsdbexeコマンド終了時のDISCONNECT操作	DISCONNECTコマンドを実行しないでpdsdbexeコマンドを終了すると，監査証跡が1レコード取得されます。
5		pdsdbexeコマンドで実行するSQLコマンド	次のSQLコマンドが1回実行されると，監査証跡が1レコード取得されます。 CONNECTコマンド DISCONNECTコマンド
6		pdsdbexeコマンドで実行するDMLコマンド	次のDMLコマンドが1回実行されると，監査証跡が1レコード取得されます。 FETCHコマンド STOREコマンド MODIFYコマンド ERASEコマンド

注※: pdsdbexeコマンド終了時の監査証跡は取得しません。

次に示す場合は，pdsdbexeコマンドに関する監査証跡は取得されません。

pdsdbexeコマンドのオプションまたは制御文の指定に誤りがあり，pdsdbexeコマンドがエラーとなった場合

ページの先頭へ

(2)　データベース操作時の監査証跡の取得契機

HiRDB/SDではデータベース操作に対する権限を持たないため，実行時には権限チェックは行いません。権限チェックの監査証跡は，CONNECT要求時に取得されます。データベース操作に対する監査証跡は，イベント終了時だけ取得されます。

なお，次の場合には，監査証跡を取得しないことがあります。

SDBデータベースを操作するAPIまたはDMLの入力情報不正や，要求順序不正など，データベースアクセス実行前にエラーとなった場合
FESとBES間の通信でエラーが発生した場合

データベース操作イベント種別とその監査イベントが発生する操作を次の表に示します。

表7‒6　SDBデータベース操作イベント種別と監査イベントが発生する操作
SDBデータベース操作イベント種別	権限チェックの監査イベントが発生する操作（AUDITTYPEにPRIVILEGEを指定した場合）	イベントの最終結果の監査証跡を取得する監査イベントが発生する操作（AUDITTYPEにEVENTを指定した場合）
FETCH	権限チェックイベントなし	レコードの検索（FETCH）実行位置指示子の位置づけ（FIND）実行
STORE	同上	レコードの格納（STORE）実行
MODIFY	同上	レコードの更新（MODIFY）実行
ERASE	同上	レコードの削除（ERASE）実行
CLEAR	同上	レコードの一括削除実行
FETCHDB ALL	同上	複数レコードの検索（FETCHDB ALL）実行

ページの先頭へ

(3)　データベース操作のユーザ要求と監査証跡レコードの関係

HiRDB/SDでは，UAPおよびpdsdbexeコマンドからのSDBデータベースを操作するAPIまたはDMLを，1つのイベントとして（APIまたはDMLに対して1対1で）監査証跡を取得します。

UAPからのSDBデータベースを操作するAPIをブロック化した複数要求の場合，次のように取得されます。

ブロック化した個々のAPIに対して実行したものだけを対象に取得します。
監査証跡レコードの「イベント成否」および「SQLコード」項目には複数要求としての最終結果を記録します。
監査証跡レコードの「アクセス件数」項目には，実行した要求で操作したレコードの合計値を記録します。
上記のため，個々の監査証跡レコードの「SQLデータ」項目にレコード操作出力情報として，API単位の処理結果およびアクセス件数を記録します。レコード削除では要求順序によって前の要求で削除されたレコードに対する要求となることがあり，この場合はレコード操作出力情報のアクセス件数は0件として記録します。

また，すべてのレコード操作で，次のレコードの監査証跡は取得しません。

4V AFMのSDBデータベースの仮想ルートレコード
4V FMBまたはSD FMBのSDBデータベースの場合で，親レコード削除に伴って削除される配下の子レコード群
4V FMBのSDBデータベースの場合で，一括オプション('O')指定で削除する位置づけレコード以外の子レコード群

ページの先頭へ

(4)　データベース操作のレコードの検索（FETCH）の取得オプション

CREATE AUDIT文（監査対象イベントの定義）でSDBデータベース操作イベント種別のFETCHにFIRSTオプションを指定することで，レコードの検索（FETCH）の監査証跡取得量を削減できます。

このオプションは，4V FMBまたはSD FMBのSDBデータベースを対象にした監査証跡取得オプションのため，4V AFMのSDBデータベースに対して指定しても無視されます。FETCHはすべてのレコード検索をイベントの対象としますが，FIRSTオプションを指定した場合は，各レコード型に対して検索のイベントが成功した最初のレコードに対してだけ監査証跡を取得し，以降の検索イベントで成功した同じレコード型の監査証跡は取得しません。ただし，同じレコード型であっても，レコード検索のイベントが失敗した場合は，監査証跡が取得されます。

この機能は，個別開始ごとにファミリ単位にルートレコードを含め，その配下の子レコードに対して適用されるため，同じレコード型へのアクセスでもルートレコードのキーが変われば（ルートレコードへの位置づけが発生すれば）イベントの対象として，監査証跡が取得されます。

また，レコード検索処理の途中で，このオプションのイベント定義が有効になった場合は，そのタイミングで同一レコード型に対する2回目以降の検索レコードに対する監査証跡は取得されません。

ページの先頭へ

7.1.3 監査証跡の取得契機

(1) ユティリティ・コマンド実行時の監査証跡の取得契機

(a) pdsdbdefコマンド実行時の監査証跡の取得契機

(b) pdsdblodコマンド実行時の監査証跡の取得契機

(c) pdsdbrogコマンド実行時の監査証跡の取得契機

(d) pdsdbexeコマンド実行時の監査証跡の取得契機【4V FMB，4V AFM】

(2) データベース操作時の監査証跡の取得契機

(3) データベース操作のユーザ要求と監査証跡レコードの関係

(4) データベース操作のレコードの検索（FETCH）の取得オプション

7.1.3　監査証跡の取得契機

(1)　ユティリティ・コマンド実行時の監査証跡の取得契機

(a)　pdsdbdefコマンド実行時の監査証跡の取得契機

(b)　pdsdblodコマンド実行時の監査証跡の取得契機

(c)　pdsdbrogコマンド実行時の監査証跡の取得契機

(d)　pdsdbexeコマンド実行時の監査証跡の取得契機【4V FMB，4V AFM】

(2)　データベース操作時の監査証跡の取得契機

(3)　データベース操作のユーザ要求と監査証跡レコードの関係

(4)　データベース操作のレコードの検索（FETCH）の取得オプション