Menú Comunicarse con nosotros Iniciar sesión en Oracle Cloud

Preguntas frecuentes sobre auditoría unificada

Prueba la auditoría unificada en LiveLabs

Accede al informe técnico (PDF)

Temas de las preguntas frecuentes

Aspectos generales
Rendimiento
Almacenamiento
Transición
Configuración
Integridad

General

1. ¿Qué versiones de Oracle Database admiten la auditoría unificada?

La auditoría unificada está disponible desde la versión de Oracle Database 12c.

2. ¿Cómo activo la auditoría unificada en Oracle Database?

La auditoría unificada está activada por defecto para Oracle Database 12c y versiones posteriores.

3. ¿La auditoría unificada es una función con licencia en Oracle Database?

La auditoría unificada se incluye en todas las versiones de Oracle Database a partir de Oracle Database 12c.

4. ¿Se puede utilizar la auditoría tradicional en Oracle Database 23ai?

La auditoría tradicional ya no está soportada en Oracle Database 23ai. Si crea una nueva instancia de Oracle Database 23ai, la auditoría tradicional no existe.

Si actualizas una base de datos antigua a la base de datos 23ai, el resultado depende de la base de datos que se haya actualizado. Si la base de datos anterior ya estaba utilizando la auditoría unificada y no queda ninguna configuración de auditoría tradicional existente, la base de datos actualizada seguirá utilizando la auditoría unificada.

Sin embargo, si actualizas una base de datos que tiene valores de auditoría tradicionales, la base de datos actualizada seguirá aplicando esos valores de auditoría y los recopilará en la pista de auditoría de la versión anterior hasta que desactives esos valores de auditoría con un comando NOAUDIT. No podrás crear nuevos valores de auditoría tradicionales ni modificar los existentes.

Oracle recomienda planificar la transición a la auditoría unificada antes de planificar un cambio de versión a Database 23ai.

5. Soy nuevo en la auditoría unificada. ¿Por dónde empiezo?

Si no conoces la auditoría unificada, comienza con las herramientas y funciones de auditoría listas para usar que cubren la mayoría de las necesidades de auditoría esenciales. A continuación, incluimos algunos consejos.

Aprovecha lo que está "siempre activo" en tu base de datos: Oracle Database tiene activada la auditoría obligatoria para determinadas operaciones sensibles a la seguridad. Estas auditorías siempre activadas están integradas y no se pueden desactivar. Por lo tanto, no necesitas duplicarlos en tus propias políticas.

Para la base de datos 19c y posteriores, para ver los registros de auditoría de las auditorías obligatorias, consulte la vista UNIFIED_AUDIT_TRAIL:

SELECT * FROM UNIFIED_AUDIT_TRAIL
WHERE UNIFIED_AUDIT_POLICIES LIKE ' ORA$MANDATORY';
Aprovecha las políticas predefinidas: Oracle proporciona políticas de auditoría integradas que cubren los eventos más comunes relacionados con la seguridad. Algunas de ellas están activadas por defecto; puedes verificar las que están activadas mediante la consulta:

SELECT * FROM AUDIT_UNIFIED_ENABLED_POLICIES;

Puedes activar los que necesites con un comando AUDIT simple como

AUDIT POLICY ORA_SECURECONFIG;

Nota: Si utilizas Oracle Autonomous Database, ya hay muchas políticas de auditoría esenciales activadas previamente.
Utiliza políticas de auditoría listas para usar con un solo clic de Oracle Data Safe y/u Oracle Audit Vault and Database Firewall.

6. ¿Cómo puedo consultar los registros de auditoría unificada?

Puedes consultar registros de auditoría utilizando la vista UNIFIED_AUDIT_TRAIL.

Rendimiento

1. ¿La auditoría unificada afecta al rendimiento de la base de datos?

Para los casos de uso habituales de auditoría de usuarios con privilegios o auditoría de operaciones de base de datos clave, el impacto en el rendimiento es tan bajo que ni siquiera se puede medir debido a un volumen de auditoría bajo repartido a lo largo de la semana. Podría empezar a ver un impacto en el rendimiento del 1 % cuando la carga de auditoría aumente a un par de miles de registros de auditoría por minuto. La mayoría de los casos de uso no tendrán un impacto en el rendimiento más allá de esto, pero para los casos en los que las organizaciones deseen auditar el uso de las aplicaciones, es mejor ajustar las políticas de auditoría.

Las pruebas de rendimiento internas que utilizan una carga de trabajo de aplicación mixta TPC-C muestran que es posible que veas un rango de sobrecarga de CPU entre el 2 % y el 5 % al auditar más allá de 6 000 registros de auditoría por minuto. Para cargas de auditoría extremas de hasta 36 000 registros de auditoría por minuto, la sobrecarga adicional sigue estando dentro de un solo dígito.

Almacenamiento

1. ¿Dónde se almacenan los datos de auditoría en la auditoría unificada?

Los registros de auditoría se almacenan en una tabla interna segura AUD$UNIFIED en el esquema AUDSYS. Esta tabla reside en el tablespace SYSAUX por defecto.

Cuando no se puede escribir en la base de datos, por ejemplo, cuando la base de datos no está abierta y el tablespace está lleno, los registros de auditoría se escriben en el sistema operativo como archivos bin de desbordamiento en el directorio $ORACLE_BASE/audit/$ORACLE_SID. Se accede a los registros de auditoría mediante la vista UNIFIED_AUDIT_TRAIL, que recupera internamente los registros de auditoría de la tabla AUDSYS.AUD$UNIFIED y los datos de los archivos de desbordamiento.

2. ¿Cómo puedo gestionar el tamaño y la retención de los datos de auditoría unificada?

Se recomienda archivar y depurar regularmente los registros de auditoría mediante la interfaz DBMS_AUDIT_MGMT. El paquete DBMS_AUDIT_MGMT proporciona utilidades para definir el registro de hora del archivo, depurar la pista de auditoría y programar un trabajo de depuración.

Otra buena práctica es establecer el intervalo de partición de pista de auditoría de modo que cada partición tenga un juego gestionable de registros de auditoría.

3. ¿Puedo mover los datos de auditoría a otro tablespace?

Se recomienda mover los datos de auditoría del tablespace SYSAUX por defecto a otro tablespace. El procedimiento DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION te permite hacerlo.

Transición

1. ¿Cómo puedo pasar de la auditoría tradicional a la auditoría unificada?

La transición es simple en la mayoría de los casos. Sigue los pasos que se incluyen a continuación:

Aprovecha lo que siempre está activo en tu base de datos.
Utiliza las políticas predefinidas de tu base de datos.
Asegúrate de que las políticas predefinidas, como ORA_SECURECONFIG o ORA_LOGIN_LOGOUT, estén activadas.
Define y activa políticas de auditoría unificadas equivalentes para la configuración de auditoría tradicional personalizada, si existen. Consulta My Oracle Support2909718.1 para obtener información sobre la utilidad de conversión si es necesario.
Desactiva la auditoría tradicional con NOAUDIT.
Define AUDIT_TRAIL=None and AUDIT_SYS_OPERATIONS =False.

Configuración

1. ¿Cuáles son las mejores prácticas recomendadas para configurar políticas de auditoría unificada?

Crea políticas de auditoría eficaces que sean selectivas y estén dirigidas a tus necesidades centrando la configuración de auditoría en tres factores: actividad de usuarios con privilegios, eventos relevantes para la seguridad y acceso a datos confidenciales. Para obtener más información, lee Oracle Database Unified Audit: Best Practice Guidelines.

2. ¿Hay Oracle LiveLabs disponible para el aprendizaje de auditoría unificada?

Sí, esta LiveLab te ayudará a comprender cómo configurar y utilizar la auditoría unificada en 30 minutos.

Integridad

1. ¿Es resistente a las alteraciones de los datos de la auditoría unificada?

La auditoría unificada ofrece un alto grado de integridad de la pista de auditoría al no permitir que los usuarios manipulen la pista de auditoría. La pista de auditoría se almacena en el esquema AUDSYS y nadie puede conectarse a ese esquema en la base de datos. AUD$UNIFIED es una tabla especializada que solo permite la actividad INSERT. Cualquier intento de truncar, suprimir o actualizar directamente el contenido de la tabla AUD$UNIFIED fallará y generará registros de auditoría. Los datos de auditoría se gestionan mediante el paquete DBMS_AUDIT_MGMT integrado de gestión de datos de auditoría.

2. ¿Puedo evitar que los administradores de bases de datos o los usuarios con privilegios manipulen los logs de auditoría unificados?

Los datos de auditoría unificados se almacenan de forma segura y no se pueden modificar. Se recomienda utilizar los roles de separación de funciones AUDIT_ADMIN y AUDIT_VIEWER para el personal de seguridad dedicado en lugar de para los DBA. Utiliza Oracle Database Vault para reforzar la aplicación de los controles operativos y las restricciones de acceso.

3. ¿Se cifran los datos de auditoría?

Aunque los registros de auditoría de la base de datos no están cifrados por defecto, puedes utilizar un cifrado de datos transparente en el tablespace que almacena los datos de auditoría.

Utiliza el cifrado de red (SSL/TLS) para proteger los datos de auditoría en tránsito.