Capture

IBM i上のシステムに対する操作の多くは、画面を通して行われます。

Captureは、5250エミュレータでの操作にあたり、ユーザーがシステムにサインオンしてからサイオンオフするまでの画面遷移と画面操作のすべてを記録し、ログとして保管する機能を提供します。ただし、画面操作のすべてを記録するのは、セキュリティの観点では無駄が多く効率的とは言えません。セキュリティが懸念される対象に的を絞り、その画面操作（画面遷移）をピンポイントで記録するほうが効率的であり効果的です。

Captureは、画面操作の対象を指定し、ルールとしてそのすべての操作を記録することができます。ルールとして指定できる対象は、操作する個人だけではありません。部門であったり高権限ユーザーのグループであったり、特定のIPアドレスやジョブ、そしてルールを適用する時刻や期間を設定することも可能です。そして、ルールの対象が実行キーや機能キーなどを使って操作をすると、画面キャプチャが実行される仕組みです。

Captureの最大の特徴は、視覚的な監査証跡を提供できる点です。こうした視覚的な監査証跡は、IBM iのOS機能にはありません。

また、Captureによって取得された操作画面は、画像ではなく物理ファイル（データベースファイル）にテキスト形式で保管されます。

これによって文字列でキャプチャした画面の検索を行うことができます。また、画像での取得と対比してサイズが小さくなり、ディスク容量を圧迫しないというメリットもあります。

Captureは、AuditやFirewallなどの他のモジュールが「アクションの後」を記録するのに対して、「アクションの前」を記録します。不正なアクセスとして記録されたアクションが、実際にどのような操作によって行われたのかが、ビジュアルに確認することが可能です。

下の画面は、Captureのメインメニュー画面です。Captureルールや、画面キャプチャの開始・終了時間など、設定可能な大項目が並んでいます。

メインメニュー画面で「1. Captureルール」を選択すると、次の「ルールの追加」画面が開きます。ここで、ルールの詳細な設定を行います。

Captureでは、ルールに違反する不正な操作が行われた場合、画面に警告メッセージを表示することができます。これにより、不正な操作を直接防止でき、さらに、システムにセキュリティが設定されていることを示し、抑止力として働かせることが可能です。

次の画面は、警告メッセージの設定画面です。「非表示」（警告メッセージを出さない）、「取得対象端末のみ」に表示、「サブシステム下全ジョブ」に表示の3種類の設定が可能です。