M 2.292 Überwachung von z/OS-Systemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Um Fehlersituationen und Sicherheitsprobleme zeitnah erkennen und beheben zu können, ist es notwendig, den laufenden Betrieb von z/OS-Systemen zu überwachen. Dazu stehen verschiedene Datenquellen des Betriebssystems zur Verfügung. Diese können entweder manuell durch das Operating oder automatisiert durch Programme analysiert werden.
Die folgenden Empfehlungen sind bei der Überwachung von z/OS-Systemen zu berücksichtigen:
MCS-Konsole
Die MCS-Konsole (Multiple Console Support) stellt wichtige System-Meldungen (Fehler, Sicherheitsverstöße usw.) dar, auf die der Operator auch sofort reagieren kann. Um aus der Flut der Nachrichten die wichtigen herauszufiltern, ist der Einsatz der MPF-Funktion (Message Processing Facility) unbedingt erforderlich. Dabei ist es empfehlenswert, die wichtigen Nachrichten auf eine spezielle Konsole zu leiten, während die Kommunikation mit dem Betriebssystem auf anderen Konsolen stattfinden sollte. Es sollte überlegt werden, Farben zum Herausheben von kritischen Nachrichten einzusetzen.
SMF-Auswertung
Nahezu alle Aktivitäten des Betriebssystems werden über SMF-Sätze (System Management Facility) protokolliert. Diese Sätze sind in jedem Fall zur Analyse nach Sicherheitsverstößen heranzuziehen (siehe auch Maßnahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS). Um auch Ereignisse der Vergangenheit analysieren zu können, muss ein entsprechendes Archivierungsverfahren für die SMF-Daten vorhanden sein. Da die SMF-Daten ebenso für Abrechnung und Performance-Analysen des z/OS-Systems herangezogen werden können, ist ferner zu überlegen, ob ein entsprechendes Berichtswesen aufgebaut werden soll.
SYSLOG-Auswertung
Alle wesentlichen Ereignisse werden darüber hinaus vom Betriebssystem im sogenannten SYSLOG (System Log) mitgeschrieben, das über SDSF (System Display and Search Facility) für JES2 oder über Flasher für JES3 für manuelle Analysen zur Verfügung steht. Es ist zu überlegen, ob Auswertungsprogramme erstellt und eingesetzt werden sollen, die das SYSLOG nach kritischen Nachrichten durchsuchen und entsprechende Reports erstellen.
Automation
Es ist zu überlegen, ob Automations-Programme eingesetzt werden sollen, die vordefinierte SYSLOG-Meldungen erkennen und entsprechende Reaktionen im System auslösen können. Hierzu gibt es eine Reihe von Produkten am Markt, auch MPF inklusive Exit-Programmierung kann benutzt werden.
Anwendungs-Logs
Viele Anwendungen schreiben eigene Protokolldaten, so zum Beispiel auch das USS-Subsystem (Unix System Services). Diese Protokolle sind ebenfalls
auf Sicherheitsverstöße zu analysieren, wichtige Nachrichten sind den Operatoren zur Verfügung zu stellen.
Zentrale Kontrolle
In größeren Installationen mit verschiedenen Standorten sollte eine zentrale Stelle existieren (Focal Point), an die alle für den Betrieb wichtigen Informationen gemeldet werden. Der Einsatz von Programmen, die das Geschehen übersichtlich - eventuell grafisch - darstellen können, ist zu überlegen.
Ergänzende Kontrollfragen:
- Gibt es eine zentrale Stelle, an die Informationen unterschiedlicher Systeme gemeldet werden (Focal Point)?
- Werden die SMF-Sätze analysiert, um Sicherheitsverstöße zu entdecken?
- Sind Nachrichten-Filter im Einsatz, um die wesentlichen Nachrichten herauszufiltern und besser darzustellen?