Documentación de Oracle Cloud Infrastructure

Auditoría

Puede ampliar la pista de auditoría unificada de Oracle Database para capturar atributos de aplicación mediante la configuración de la auditoría para los valores de contexto de aplicación. El espacio de nombres de contexto de aplicación se rellena con los atributos necesarios y esos valores se capturan en la pista de auditoría unificada.

Los atributos de aplicación proporcionados por Database Tools se pueden utilizar para:

  • Identifique el principal de IAM autenticado que inició el acceso a la base de datos mediante el servicio Database Tools.
  • Correlacionar un registro de seguimiento de auditoría unificado con un evento de auditoría de OCI.

Identificación del principal de IAM autenticado

Para capturar los atributos de contexto de aplicación en la pista de auditoría unificada, primero debe ejecutar el comando AUDIT CONTEXT especificando los atributos adicionales que desea incluir en el registro de auditoría.

Por ejemplo, la siguiente sentencia captura los valores de los atributos de espacio de nombres CLIENTCONTEXT IAM_PRINCIPAL_OCID a RESOURCE_COMPARTMENT_OCID en todos los registros de auditoría. 

AUDIT CONTEXT NAMESPACE CLIENTCONTEXT ATTRIBUTES IAM_PRINCIPAL_OCID,IAM_PRINCIPAL_TYPE, 
IAM_PRINCIPAL_SUB_TYPE,IAM_PRINCIPAL_RESOURCE_TYPE,IAM_PRINCIPAL_TENANCY_OCID, 
OPC_REQUEST_ID,RESOURCE_OCID,RESOURCE_COMPARTMENT_OCID

Después de agregar los atributos, puede utilizar la siguiente sentencia para comprobar los atributos de contexto de aplicación que se capturan en la pista de auditoría unificada.

SELECT * FROM AUDIT_UNIFIED_CONTEXTS;

Los registros de auditoría rellenados en UNIFIED_AUDIT_TRAIL por el servicio Database Tools proporcionan información para las siguientes columnas.

Tabla 7-1 Columnas auditadas

Columna Valor
OS_USERNAME Identificador de principal autenticado de IAM posiblemente truncado
CLIENT_IDENTIFIER Caracteres restantes del identificador principal autenticado de IAM
USERHOST Nombre de host de capa media
TERMINAL desconocido
CLIENT_PROGRAM_NAME ORDS de herramientas de base de datos
EXECUTION_ID opc-request-id truncado con 64 caracteres
APPLICATION_CONTEXTS Consulte la Tabla 7-2

La columna APPLICATION_CONTEXTS se rellena con los valores de los siguientes atributos CLIENTCONTEXT, lo que permite identificar el principal de IAM autenticado que ha iniciado la operación de base de datos.

Tabla 7-2 Columna Application_Contexts

Contexto Atributo Descripción
CLIENTCONTEXT IAM_PRINCIPAL_OCID ID de principal de IAM
IAM_PRINCIPAL_TENANCY_OCID ID de arrendamiento principal de IAM
IAM_PRINCIPAL_TYPE

Tipo de principal de IAM

  • usuario
  • recurso
  • instancia
  • Servicio
IAM_PRINCIPAL_SUB_TYPE

Subtipo de principal de IAM

  • natv (usuario nativo)
  • natf (usuario federado nativo)
  • federado (usuario federado)
  • Ninguna
IAM_PRINCIPAL_RESOURCE_TYPE Tipo de recurso de principal de IAM
OPC_REQUEST_ID ID de solicitud de OPC
RESOURCE_OCID ID de recurso
RESOURCE_COMPARTMENT_OCID ID de compartimento de recurso

Correlación de un registro de seguimiento de auditoría unificado con un evento de auditoría de OCI

Mediante los atributos OPC_REQUEST_ID y RESOURCE_COMPARTMENT_OCID proporcionados en la columna APPLICATION_CONTEXTS y EVENT_TIMESTAMP, es posible encontrar el evento de auditoría que coincida con el registro de pista de auditoría unificado.

Uso de la consola de Oracle Cloud Infrastructure

  1. En la consola, abra el menú de navegación y haga clic en Observabilidad y gestión, seleccione Registro y, a continuación, seleccione Auditoría.
  2. En el panel izquierdo, seleccione el compartimento.
  3. En el panel derecho, en Filtros, introduzca data.request.id= '<opc-request-id value>'.
  4. En Filtrar por tiempo, seleccione el intervalo de tiempo de la lista desplegable.
  5. Haga clic en Aplicar.

    Los resultados aparecen en el separador Explorar eventos.

Uso de la Interfaz de Línea de Comandos (CLI)

Introduzca <REGION ID>, <RESOURCE_COMPARTMENT_OCID> y <OPC_REQUEST_ID> en el siguiente script para buscar el evento de auditoría que coincida con el registro de seguimiento de auditoría unificado. 

#!/bin/sh
 
read -r -d '' body <<EndOfBody
{
  "searchQuery": "search \"<RESOURCE_COMPARTMENT_ID>/_Audit\" | (data.request.id='<OPC_REQUEST_ID>') | sort by datetime desc",
  "timeStart":"2024-07-19T11:03:56.167Z",
  "timeEnd":"2024-07-19T14:03:56.167Z",
  "isReturnFieldInfo":false
}
EndOfBody
 
oci raw-request --target-uri https://logging.<REGION_ID>.oci.oraclecloud.com/20190909/search --http-method POST --request-body "${body}"