7.1.3 監査証跡の取得契機
監査証跡の取得契機については,マニュアル「HiRDB システム運用ガイド」の「監査証跡の取得契機」を参照してください。
また,「表7-1 監査証跡の取得範囲」に示す操作をしたときにも監査証跡が取得されます。
- 〈この項の構成〉
(1) ユティリティ・コマンド実行時の監査証跡の取得契機
(a) pdsdbdefコマンド実行時の監査証跡の取得契機
pdsdbdefコマンドを実行した場合,次の表に示すタイミングで監査証跡が取得されます。
項番 |
監査証跡の取得契機 |
監査対象のイベント |
監査証跡の取得単位 |
---|---|---|---|
1 |
権限チェック時 |
pdsdbdefコマンド実行時のCONNECT権限チェック |
pdsdbdefコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
2 |
イベントの終了時 |
SDBディクショナリ情報の操作 |
次のSDB定義文が1回実行されると,監査証跡が1レコード取得されます。
|
3 |
データベース定義のチェック |
次のSDB定義文が1回実行されると,監査証跡が1レコード取得されます。
|
|
4 |
SDBディレクトリ情報の操作 |
次のSDB定義文が1回実行されると,監査証跡が1レコード取得されます。
|
|
5 |
SDBディレクトリ情報ファイルの作成 |
dirinf文を指定したpdsdbdefコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
|
6 |
pdsdbdefコマンドの終了 |
pdsdbdefコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
次に示す場合は,pdsdbdefコマンドに関する監査証跡は取得されません。
-
pdsdbdefコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
-
pdsdbdefコマンドのオプションまたは制御文の指定に誤りがあり,pdsdbdefコマンドがエラーとなった場合
-
上記の表の項番2〜5については,該当するリソースにアクセスした場合に限り監査証跡が取得されます。該当するリソースにアクセスする前にエラーが発生した場合は,該当する監査対象イベントの監査証跡は取得されません。
(b) pdsdblodコマンド実行時の監査証跡の取得契機
pdsdblodコマンドを実行した場合,次の表に示すタイミングで監査証跡が取得されます。
項番 |
監査証跡の取得契機 |
監査対象のイベント |
監査証跡の取得単位 |
---|---|---|---|
1 |
権限チェック時 |
pdsdblodコマンド実行時のCONNECT権限チェック |
pdsdblodコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
2 |
イベントの終了時 |
pdsdblodコマンドの終了 |
次に示す場合は,pdsdblodコマンドに関する監査証跡は取得されません。
-
pdsdblodコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
-
pdsdblodコマンドのオプションまたは制御文の指定に誤りがあり,pdsdblodコマンドがエラーとなった場合
(c) pdsdbrogコマンド実行時の監査証跡の取得契機
pdsdbrogコマンドを実行した場合,次の表に示すタイミングで監査証跡が取得されます。
項番 |
監査証跡の取得契機 |
監査対象のイベント |
監査証跡の取得単位 |
---|---|---|---|
1 |
権限チェック時 |
pdsdbrogコマンド実行時のCONNECT権限チェック |
pdsdbrogコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
2 |
イベントの終了時 |
pdsdbrogコマンドの終了 |
次に示す場合は,pdsdbrogコマンドに関する監査証跡は取得されません。
-
pdsdbrogコマンド実行時のCONNECT権限チェックでCONNECTエラーが発生した場合
-
pdsdbrogコマンドのオプションまたは制御文の指定に誤りがあり,pdsdbrogコマンドがエラーとなった場合
(d) pdsdbexeコマンド実行時の監査証跡の取得契機【4V FMB,4V AFM】
pdsdbexeコマンドを実行した場合,次の表に示すタイミングで監査証跡が取得されます。
項番 |
監査証跡の取得契機 |
監査対象のイベント |
監査証跡の取得単位 |
---|---|---|---|
1 |
権限チェック時 |
pdsdbexeコマンド実行時のCONNECT権限チェック |
pdsdbexeコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
2 |
pdsdbexeコマンドで実行するSQLコマンド |
次のSQLコマンドが1回実行されると,監査証跡が1レコード取得されます。
|
|
3 |
イベントの終了時※ |
pdsdbexeコマンド実行時のCONNECT操作 |
pdsdbexeコマンドが1回実行されると,監査証跡が1レコード取得されます。 |
4 |
pdsdbexeコマンド終了時のDISCONNECT操作 |
DISCONNECTコマンドを実行しないでpdsdbexeコマンドを終了すると,監査証跡が1レコード取得されます。 |
|
5 |
pdsdbexeコマンドで実行するSQLコマンド |
次のSQLコマンドが1回実行されると,監査証跡が1レコード取得されます。
|
|
6 |
pdsdbexeコマンドで実行するDMLコマンド |
次のDMLコマンドが1回実行されると,監査証跡が1レコード取得されます。
|
次に示す場合は,pdsdbexeコマンドに関する監査証跡は取得されません。
-
pdsdbexeコマンドのオプションまたは制御文の指定に誤りがあり,pdsdbexeコマンドがエラーとなった場合
(2) データベース操作時の監査証跡の取得契機
HiRDB/SDではデータベース操作に対する権限を持たないため,実行時には権限チェックは行いません。権限チェックの監査証跡は,CONNECT要求時に取得されます。データベース操作に対する監査証跡は,イベント終了時だけ取得されます。
なお,次の場合には,監査証跡を取得しないことがあります。
-
SDBデータベースを操作するAPIまたはDMLの入力情報不正や,要求順序不正など,データベースアクセス実行前にエラーとなった場合
-
FESとBES間の通信でエラーが発生した場合
データベース操作イベント種別とその監査イベントが発生する操作を次の表に示します。
SDBデータベース操作イベント種別 |
権限チェックの監査イベントが発生する操作(AUDITTYPEにPRIVILEGEを指定した場合) |
イベントの最終結果の監査証跡を取得する監査イベントが発生する操作(AUDITTYPEにEVENTを指定した場合) |
---|---|---|
FETCH |
権限チェックイベントなし |
|
STORE |
同上 |
レコードの格納(STORE)実行 |
MODIFY |
同上 |
レコードの更新(MODIFY)実行 |
ERASE |
同上 |
レコードの削除(ERASE)実行 |
CLEAR |
同上 |
レコードの一括削除実行 |
FETCHDB ALL |
同上 |
複数レコードの検索(FETCHDB ALL)実行 |
GET |
同上 |
レコードの取得(GET)実行 |
(3) データベース操作のユーザ要求と監査証跡レコードの関係
HiRDB/SDでは,UAPおよびpdsdbexeコマンドからのSDBデータベースを操作するAPIまたはDMLを,1つのイベントとして(APIまたはDMLに対して1対1で)監査証跡を取得します。
UAPからのSDBデータベースを操作するAPIをブロック化した複数要求の場合,次のように取得されます。
-
ブロック化した個々のAPIに対して実行したものだけを対象に取得します。
-
監査証跡レコードの「イベント成否」および「SQLコード」項目には複数要求としての最終結果を記録します。
-
監査証跡レコードの「アクセス件数」項目には,実行した要求で操作したレコードの合計値を記録します。
-
上記のため,個々の監査証跡レコードの「SQLデータ」項目にレコード操作出力情報として,API単位の処理結果およびアクセス件数を記録します。レコード削除では要求順序によって前の要求で削除されたレコードに対する要求となることがあり,この場合はレコード操作出力情報のアクセス件数は0件として記録します。
また,すべてのレコード操作で,次のレコードの監査証跡は取得しません。
-
4V AFMのSDBデータベースの仮想ルートレコード
-
4V FMBまたはSD FMBのSDBデータベースの場合で,親レコード削除に伴って削除される配下の子レコード群
-
4V FMBのSDBデータベースの場合で,一括オプション('O')指定で削除する位置づけレコード以外の子レコード群
(4) データベース操作のレコードの検索(FETCH)の取得オプション
CREATE AUDIT文(監査対象イベントの定義)でSDBデータベース操作イベント種別のFETCHにFIRSTオプションを指定することで,レコードの検索(FETCH)の監査証跡取得量を削減できます。
このオプションは,4V FMBまたはSD FMBのSDBデータベースを対象にした監査証跡取得オプションのため,4V AFMのSDBデータベースに対して指定しても無視されます。FETCHはすべてのレコード検索をイベントの対象としますが,FIRSTオプションを指定した場合は,各レコード型に対して検索のイベントが成功した最初のレコードに対してだけ監査証跡を取得し,以降の検索イベントで成功した同じレコード型の監査証跡は取得しません。ただし,同じレコード型であっても,レコード検索のイベントが失敗した場合は,監査証跡が取得されます。
この機能は,個別開始ごとにファミリ単位にルートレコードを含め,その配下の子レコードに対して適用されるため,同じレコード型へのアクセスでもルートレコードのキーが変われば(ルートレコードへの位置づけが発生すれば)イベントの対象として,監査証跡が取得されます。
また,レコード検索処理の途中で,このオプションのイベント定義が有効になった場合は,そのタイミングで同一レコード型に対する2回目以降の検索レコードに対する監査証跡は取得されません。