Documentação do Oracle Cloud Infrastructure

Auditando

Você pode estender a trilha de auditoria unificada do Oracle Database para capturar atributos da aplicação configurando a auditoria para valores de contexto da aplicação. O namespace de contexto do aplicativo é preenchido com os atributos necessários e esses valores são capturados na trilha de auditoria unificada.

Os atributos do aplicativo fornecidos pelo Database Tools podem ser usados para:

  • Identifique o principal autenticado do IAM que iniciou o acesso ao banco de dados usando o serviço Database Tools.
  • Correlacione um registro de trilha de auditoria unificada com um evento de auditoria do OCI.

Identificar o Principal Autenticado do IAM

Para capturar os atributos de contexto do aplicativo na trilha de auditoria unificada, primeiro execute o comando AUDIT CONTEXT especificando os atributos adicionais que você deseja incluir no registro de auditoria.

Por exemplo, a instrução a seguir captura os valores dos atributos CLIENTCONTEXT do namespace IAM_PRINCIPAL_OCID para RESOURCE_COMPARTMENT_OCID em todos os registros de auditoria. 

AUDIT CONTEXT NAMESPACE CLIENTCONTEXT ATTRIBUTES IAM_PRINCIPAL_OCID,IAM_PRINCIPAL_TYPE, 
IAM_PRINCIPAL_SUB_TYPE,IAM_PRINCIPAL_RESOURCE_TYPE,IAM_PRINCIPAL_TENANCY_OCID, 
OPC_REQUEST_ID,RESOURCE_OCID,RESOURCE_COMPARTMENT_OCID

Depois de adicionar os atributos, você poderá usar a instrução a seguir para verificar os atributos de contexto do aplicativo capturados na trilha de auditoria unificada.

SELECT * FROM AUDIT_UNIFIED_CONTEXTS;

Os registros de auditoria preenchidos no UNIFIED_AUDIT_TRAIL pelo serviço Database Tools fornecem informações para as seguintes colunas.

Tabela 7-1 Colunas Auditadas

Coluna Valor
OS_USERNAME Identificador principal autenticado do IAM possivelmente truncado
CLIENT_IDENTIFIER Caracteres restantes do identificador principal autenticado do IAM
USERHOST Nome do host da camada intermediária
TERMINAL Desconhecido
CLIENT_PROGRAM_NAME ORDS de Ferramentas de Banco de Dados
EXECUTION_ID opc-request-id truncado com 64 caracteres
APPLICATION_CONTEXTS Consulte a Tabela 7-2

A coluna APPLICATION_CONTEXTS é preenchida com os valores dos seguintes atributos CLIENTCONTEXT, que permitem identificar o principal autenticado do IAM que iniciou a operação do banco de dados.

Tabela 7-2 Coluna Application_Contexts

Contexto Atributo Descrição:
CLIENTCONTEXT IAM_PRINCIPAL_OCID ID prinicipal do IAM
IAM_PRINCIPAL_TENANCY_OCID ID da tenancy principal do IAM
IAM_PRINCIPAL_TYPE

Tipo de impressão do IAM

  • usuário
  • recurso
  • instância
  • serviço
IAM_PRINCIPAL_SUB_TYPE

Subtipo principal do IAM

  • natv (usuário nativo)
  • natf (usuário federado nativo)
  • alimentado (usuário federado)
  • nenhum
IAM_PRINCIPAL_RESOURCE_TYPE Tipo de recurso principal do IAM
OPC_REQUEST_ID ID de solicitação do OPC
RESOURCE_OCID Id do recurso
RESOURCE_COMPARTMENT_OCID ID do compartimento do recurso

Correlacione um Registro de Trilha de Auditoria Unificada com um Evento de Auditoria do OCI

Usando os atributos OPC_REQUEST_ID e RESOURCE_COMPARTMENT_OCID fornecidos na coluna APPLICATION_CONTEXTS e EVENT_TIMESTAMP, é possível localizar o evento de auditoria correspondente ao registro da trilha de auditoria unificada.

Usando a Console do Oracle Cloud Infrastructure

  1. Na Console, abra o menu de navegação e clique em Observação e Gerenciamento, selecione Log e, em seguida, selecione Auditoria.
  2. No painel esquerdo, selecione o Compartimento.
  3. No painel direito, em Filtros, digite data.request.id= '<opc-request-id value>'.
  4. Em Filtrar por tempo, selecione o intervalo de tempo na lista drop-down.
  5. Clique em Aplicar.

    Os resultados aparecem na guia Explorar Eventos.

Usando a Interface de Linha de Comando (CLI)

Digite <REGION ID>, <RESOURCE_COMPARTMENT_OCID> e <OPC_REQUEST_ID> no script a seguir para localizar o evento de auditoria que corresponde ao registro da trilha de auditoria unificada. 

#!/bin/sh
 
read -r -d '' body <<EndOfBody
{
  "searchQuery": "search \"<RESOURCE_COMPARTMENT_ID>/_Audit\" | (data.request.id='<OPC_REQUEST_ID>') | sort by datetime desc",
  "timeStart":"2024-07-19T11:03:56.167Z",
  "timeEnd":"2024-07-19T14:03:56.167Z",
  "isReturnFieldInfo":false
}
EndOfBody
 
oci raw-request --target-uri https://logging.<REGION_ID>.oci.oraclecloud.com/20190909/search --http-method POST --request-body "${body}"