Visualización de eventos del log de auditoría

Describe cómo ver los eventos del log de auditoría.

La auditoría proporciona registros de las operaciones de API realizadas en los servicios soportados como una lista de eventos de log. El servicio registra eventos en el nivel de inquilino y de compartimento.

Al ver los eventos registrados por Auditoría, puede que esté interesado en actividades específicas que se hayan producido en el arrendamiento o el compartimento y en la persona responsable de la actividad. Necesitará saber la hora y la fecha aproximadas en las que se ha producido alguna actividad, así como el compartimento en el que ha tenido lugar para mostrar una lista de eventos de log que incluya la actividad en cuestión. Para mostrar los eventos de log, especifique un rango de tiempo en el reloj de 24 horas en la hora media de Greenwich (GMT), calculando el desfase con respecto a la zona horaria local, según corresponda. Se agrega una nueva actividad al final de la lista existente, normalmente en un plazo de 15 minutos tras la llamada de la API, aunque el tiempo de procesamiento puede variar.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que se le haya otorgado acceso de seguridad en una política por parte de un administrador de arrendamiento. Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indique que no tiene permiso o no está autorizado, verifique con su administrador de arrendamiento el tipo de acceso y el compartimento en el que funciona su acceso.

Para administradores: con la siguiente sentencia de política se proporciona al grupo especificado (Auditores) la capacidad de ver todos los logs de eventos de Auditoría en el arrendamiento:

Allow group Auditors to read audit-events in tenancy

Para proporcionar al grupo acceso a los logs de eventos de auditoría solo en un compartimento específico (ProjectA), escriba una política como la siguiente:

Allow group Auditors to read audit-events in compartment ProjectA

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Para obtener más detalles sobre las políticas de Auditoría, consulte Detalles del servicio Auditoría.

Búsqueda y filtrado en la consola

Al desplazarse a Auditoría en la consola, se genera una lista de resultados para el compartimento actual. Los logs de Audit se organizan por compartimento; por lo tanto, si busca un evento concreto, debe saber en qué compartimento se produjo el evento. Puede filtrar la lista de las siguientes formas: 

  • Fecha y hora
  • Tipos de solicitud de acción (operaciones) 
  • Palabras claves

Por ejemplo, los usuarios comienzan a informar de que su intento de iniciar sesión está fallando. Si desea utilizar Auditoría para investigar el problema. Ajuste la fecha y hora para buscar los fallos correspondientes durante una ventana de tiempo que se inicie un poco antes del problema indicado. Busque los fallos correspondientes y operaciones similares anteriores a los fallos para correlacionar un motivo de los fallos.

Nota

El servicio registra los eventos cuando se procesan. Puede haber un retraso entre el momento en que se produce una operación y el momento en que se procesa.

Puede filtrar los resultados por acciones de solicitud para centrarse únicamente en los eventos con operaciones que le interesen. Por ejemplo, suponga que solo desea saber las instancias que se han suprimido durante un período de tiempo específico. Seleccione un filtro de acción de solicitud de supresión para ver solo los eventos con operaciones de supresión.

También puede filtrar por palabras clave. Los filtros de palabra clave son muy útiles cuando se combinan con los valores de los campos de eventos de auditoría. Por ejemplo, supongamos que conoce el nombre de usuario de una cuenta y desea una lista de toda la actividad que tiene esa cuenta en un período de tiempo concreto. Realice una búsqueda con el nombre de usuario como filtro de palabra clave.

Cada evento de auditoría contiene los mismos campos, por lo que debe buscar valores de esos campos. Para comprender mejor los valores disponibles, consulte, Contenido de un evento de log de auditoría.