Visualización de eventos del log de auditoría

El servicio Auditoría proporciona registros de las operaciones de API realizadas en servicios soportados como una lista de eventos de log. El servicio registra eventos en el nivel de inquilino y de compartimento.

Al ver los eventos registrados por Auditoría, puede que esté interesado en actividades específicas que se hayan producido en el arrendamiento o el compartimento y en la persona responsable de la actividad. Necesitará saber que en la fecha y la hora aproximadas se ha producido alguna actividad, así como el compartimento en el que ha tenido lugar para mostrar una lista de eventos de log que incluya la actividad en cuestión. Para mostrar los eventos de log, especifique un rango de tiempo en el reloj de 24 horas en la hora media de Greenwich (GMT), calculando el desfase con respecto a la zona horaria local, según corresponda. Se agrega una nueva actividad al final de la lista existente, normalmente en un plazo de 15 minutos tras la llamada de la API, aunque el tiempo de procesamiento puede variar.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si está utilizando la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: con la siguiente sentencia de política se proporciona al grupo especificado (Auditores) la capacidad de ver todos los logs de eventos de Auditoría en el arrendamiento:

Allow group Auditors to read audit-events in tenancy

Para proporcionar al grupo acceso a los logs de eventos de auditoría solo en un compartimento específico (Proyecto-A), escriba una política como la siguiente:

Allow group Auditors to read audit-events in compartment ProjectA

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Para obtener más detalles sobre las políticas de Auditoría, consulte Detalles del servicio Auditoría.

Búsqueda y filtrado en la consola

Al desplazarse a Auditoría en la consola, se genera una lista de resultados para el compartimento actual. Los logs de auditoría se organizan por compartimento; por lo tanto, si busca un evento concreto, debe saber en qué compartimento se ha producido el evento. Puede filtrar la lista de las siguientes formas: 

  • Fecha y hora
  • Tipos de solicitud de acción (operaciones) 
  • Palabras claves

Por ejemplo, los usuarios empiezan a informar de que sus intentos de inicio de sesión han fallado. Desea utilizar Auditoría para investigar el problema indicado. Ajuste la fecha y hora para buscar los fallos correspondientes durante una ventana de tiempo que se inicie un poco antes del problema indicado. Busque los fallos correspondientes y operaciones similares anteriores a los fallos para correlacionar un motivo de los fallos.

Nota

El servicio registra los eventos cuando se procesan. Puede haber un retraso entre el momento en que se produce una operación y el momento en que se procesa.

Puede filtrar los resultados por acciones de solicitud para centrarse únicamente en los eventos con operaciones que le interesen. Por ejemplo, suponga que solo desea saber las instancias que se han suprimido durante un período de tiempo específico. Seleccione un filtro de acción de solicitud de supresión para ver solo los eventos con operaciones de supresión.

También puede filtrar por palabras clave. Los filtros de palabra clave son muy útiles cuando se combinan con los valores de los campos de eventos de auditoría. Por ejemplo, supongamos que conoce el nombre de usuario de una cuenta y desea una lista de toda la actividad que tiene esa cuenta en un período de tiempo concreto. Realice una búsqueda con el nombre de usuario como filtro de palabra clave.

Cada evento de auditoría contiene los mismos campos, por lo que debe buscar valores de esos campos. Para comprender mejor los valores disponibles, consulte, Contenido de un evento de log de auditoría.

Uso de la consola

Para buscar eventos de log
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Auditoría.

    Se muestra la lista de eventos que se han producido en el compartimento actual.

  2. Haga clic en uno de los compartimentos en Compartimento.

    Auditoría organiza los logs por compartimento; por lo tanto, si busca un evento concreto, debe saber en qué compartimento se ha producido el evento.

  3. Haga clic en el cuadro Fecha de inicio para seleccionar la fecha y hora de inicio del rango de resultados que desea ver. Puede hacer clic en las flechas a ambos lados del mes para retroceder o avanzar.
  4. (Opcional) Especifique una hora mediante una de las siguientes acciones: 
    1. Haga clic en Hora y especifique una hora de inicio exacta en incrementos de treinta y minutos.
    2. Introduzca una hora exacta en el cuadro Fecha de inicio.

      El servicio utiliza un reloj de 24 horas, por lo que debe proporcionar un número entre 0 y 23 para la hora. Recuerde también calcular el desfase entre la hora media de Greenwich (GMT) y la hora local.

  5. Repita los pasos 3 y 4 para seleccionar una fecha y hora de finalización.
  6. (Opcional) En el cuadro Palabras clave, escriba el texto que desea buscar y haga clic en Buscar.

    Consejo: Si desea buscar eventos de log con un código de estado específico, incluya comillas (") alrededor del código para evitar resultados que tengan esos números incluidos en una cadena más larga.

  7. (Opcional) En Tipo de acción de solicitud, especifique una o más operaciones con las que filtrar los resultados.
    • GET
    • POST 
    • PUT
    • PATCH
    • DELETE

Los resultados se actualizan para incluir solo los eventos de log que se hayan procesado en el rango temporal y los filtros especificados. Si se ha producido un evento en el pasado reciente, puede que tenga que esperar para verlo en la lista. El servicio suele tardar hasta 15 minutos en procesarse.

Si hay más de 100 resultados para el rango de tiempo especificado, puede hacer clic en la flecha a la derecha situada junto al número de página en la parte inferior de la página para avanzar a la siguiente página de eventos de log.

Consejos

Si obtiene menos de 100 resultados en la última página de una lista de resultados, puede que aún tenga más resultados, a los que podrá acceder haciendo clic en la flecha derecha. El servicio Auditoría le preguntará en caso de que haya más resultados.

Si desea ver todos los pares clave/valor de un evento de log, consulte Para ver los detalles de un evento de log.

Para ver los detalles de un evento de log

Ver los detalles del evento: 

  • Para ver solo los detalles de nivel superior, haga clic en la flecha hacia abajo situada a la derecha de un evento.
  • Para ver detalles de nivel inferior, haga clic en + a la izquierda del parámetro reducido.
Para copiar los detalles de un evento de log

Para lo siguiente se asume que ha ampliado una fila en los resultados.

  • Para copiar un evento completo, haga clic en el icono del portapapeles a la derecha del corchete de apertura, encima del parámetro eventType.
  • Para copiar una parte de un evento, haga clic en el icono del portapapeles a la derecha del parámetro o valor anidado que desee copiar.

El evento de log se copia en el portapapeles. El servicio Auditoría registra los eventos en formato JSON. Puede pegar los detalles del evento de log en un editor de texto para guardarlo y revisarlo más adelante o para utilizarlo con las herramientas de análisis de log estándar.

Uso de la API

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Utilice la siguiente operación para mostrar los eventos del log de auditoría:

Nota:

Esta API no está destinada a operaciones de exportación en bloque. Para la exportación en bloque, consulte Exportación en bloque de eventos del log de auditoría.