Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Logs de auditoría

    Los registros de auditoría se recopilan en registros de auditoría. El servicio de auditoría proporciona tres modos de salida para los registros de auditoría.

  • Los registros que se denominan archivos de auditoría almacenan registros de auditoría en formato binario. El conjunto de archivos de auditoría de un sistema o sitio proporciona un registro de auditoría completo. El registro de auditoría completo se denomina pista de auditoría. Estos registros se crean mediante el complemento audit_binfile y pueden ser revisados por los comandos praudit y auditreduce de selección posterior.

  • El complemento audit_remote envía registros de auditoría a un repositorio remoto. El repositorio es responsable de mantener una pista de auditoría y de suministrar herramientas de selección posterior.

  • La utilidad syslog recopila y almacena resúmenes de texto del registro de auditoría. Un registro syslog no está completo. El siguiente ejemplo muestra una entrada syslog para un registro de auditoría login:

    Oct 10  10:10:20 example_system auditd: [ID 6472 audit.notice] \
login - login ok session 4076172534 by root as root:other

Un sitio puede configurar la auditoría para recopilar registros de auditoría en todos los formatos. Puede configurar los sistemas en su sitio para que usen el modo binario localmente, para que envíen archivos binarios a un repositorio remoto y para usar el modo syslog. En la siguiente tabla, se comparan registros de auditoría binarios con registros de auditoría syslog.

Tabla 1-1  Comparación de registros de auditoría binarios, remotos y syslog
Característica
Registros binarios y remotos
Registros syslog
Protocolo
Binario: escribe en el sistema de archivos
Remoto: envía a un repositorio remoto
Utiliza UDP para el registro remoto
Tipo de datos
Binarios
Texto
Longitud de registro
Sin límite
Hasta 1024 caracteres por registro de auditoría
Ubicación
Binaria: almacenados en un zpool en el sistema
Remota: repositorio remoto
Se almacenan en una ubicación que se especifica en el archivo syslog.conf
Cómo configurar
Binario: se define el atributo p_dir en el complemento audit_binfile
Remoto: se define el atributo p_hosts en el complemento audit_remote y se hace que se active el complemento
Se activa el complemento audit_syslog y se configura el archivo syslog.conf
Cómo leer
Binario: normalmente, en modo de lote, salida del explorador en XML
Remoto: el repositorio dicta el procedimiento
En tiempo real o se buscan mediante secuencias de comandos creadas para syslog
Salida de texto sin formato
Integridad
Se garantiza que estén completos y que aparezcan en el orden correcto
No se garantiza que estén completos
Indicación de hora
Hora universal coordinada (UTC)
Hora en el sistema que se audita

Acerca de los registros binarios

Los registros binarios proporcionan la mayor seguridad y cobertura. La salida binaria cumple con los requisitos de las certificaciones de seguridad, como los requisitos de auditoría Common Criteria.

El complemento audit_binfile escribe los registros en un sistema de archivos que tiene protección para no ser vistos. En un único sistema, todos los registros binarios se recopilan y se muestran en orden. La indicación de hora del UTC en registros binarios permite realizar una comparación exacta cuando los sistemas en una pista de auditoría se distribuyen entre zonas horarias. El comando praudit -x permite ver los registros en un explorador, en XML. También puede utilizar secuencias de comandos para analizar la salida XML.

El complemento audit_remote escribe registros de auditoría en un repositorio remoto. El repositorio maneja el almacenamiento y la selección posterior.

Acerca de los registros de auditoría syslog

En contraste, es posible que los registros syslog proporcionen una mayor comodidad y flexibilidad. Por ejemplo, puede recopilar los datos de syslog de un gran variedad de orígenes. Además, al supervisar eventos audit.notice en el archivo syslog.conf, la utilidad syslog registra un resumen de registros de auditoría con la indicación de hora actual. Puede utilizar las mismas herramientas de análisis y de gestión que ha desarrollado para mensajes syslog de una gran variedad de orígenes, incluidos estaciones de trabajo, servidores, cortafuegos y enrutadores. Los registros se pueden consultar en tiempo real y se pueden almacenar en un sistema remoto.

Si usa syslog.conf para almacenar registros de auditoría de manera remota, está protegiendo los datos del registro para evitar que los modifique o suprima un agresor. Sin embargo, tenga en cuenta los siguientes inconvenientes para el modo syslog.

  • Los registros son susceptibles a ataques de red, como denegación de servicio y direcciones de origen suplantadas.

  • El protocolo UDP puede eliminar paquetes o puede entregar paquetes que no funcionan.

  • El límite de 1.024 caracteres para las entradas syslog puede provocar que algunos registros de auditoría se trunquen en el log.

  • En un único sistema, no se recopilan todos los registros de auditoría, y es posible que estos no se muestren en orden.

  • En cada registro de auditoría, se registran la fecha y la hora del sistema local. Por lo tanto, no puede basarse en el registro de hora para construir una pista de auditoría para varios sistemas.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente