Configurar el Seguimiento de Auditoría de DB para MS Azure PostgreSQL
Junto con otras funcionalidades, DataSunrise cuenta con una herramienta de auditoría dedicada, el Seguimiento de Auditoría de DB, basada en el uso de herramientas y mecanismos nativos de auditoría de la base de datos. En este artículo explicamos cómo configurar DataSunrise y su base de datos PostgreSQL alojada en MS Azure para llevar a cabo el Seguimiento de Auditoría de DB.
Tenga en cuenta que esta guía describe todas las acciones requeridas para que el Seguimiento de Auditoría de DB funcione desde el principio. Supongamos que no dispone ni de una base de datos ni de los recursos correspondientes en Azure. Para seguir los pasos de esta guía, solo necesita tener DataSunrise instalado en su máquina y acceso al portal de Azure.
Inicie sesión en el Portal de Azure
Inicie sesión en el portal de Azure. Si no está familiarizado con la interfaz de Azure, puede resultarle útil utilizar el campo de búsqueda ubicado en la parte superior de la pantalla (“Buscar recursos, servicios y documentos”).
Registro de una Aplicación de Azure
DataSunrise utilizará esta aplicación para descargar los archivos de registro de su PostgreSQL desde el contenedor Blob asociado a su cuenta de Almacenamiento. Siga los siguientes pasos:
1. Vaya a Registros de aplicaciones -> Nuevo registro y registre su aplicación. Tenga en cuenta que URI de redirección (opcional) no es requerido.
2. Conceda a su aplicación los permisos para acceder a los contenedores Blob.
En la página de Permisos de API, haga clic en Añadir un permiso
En la pestaña APIs de Microsoft, seleccione Azure Storage y luego seleccione Permisos delegados y user_impersonation:
Haga clic en Añadir permisos para aplicar los cambios
3. Cree un Secreto para su aplicación para que Azure pueda identificarla.
- Navegue a Certificados y secretos
- En Secretos de cliente, haga clic en Nuevo secreto de cliente para crear un nuevo secreto. GUARDE EL VALOR DEL SECRETO EN ALGÚN LUGAR: lo necesitará más adelante.
Creación de un Grupo de Recursos
Se necesita un grupo de recursos para contener las entidades (recursos) asociadas con su entorno de base de datos.
Navegue a Grupos de recursos y cree un grupo de recursos.
Creación de una Cuenta de Almacenamiento
La cuenta de almacenamiento contendrá los archivos de registro de su PostgreSQL. DataSunrise obtendrá estos registros de su cuenta de almacenamiento.
1. Vaya a Cuentas de almacenamiento y cree una cuenta
2. Seleccione su grupo de recursos en la configuración de la cuenta de almacenamiento y asigne un nombre a la cuenta. Deje todas las demás configuraciones por defecto
3. Navegue a Control de acceso (IAM) y haga clic en Añadir -> Añadir asignación de roles
Seleccione Lector: Siguiente. Haga clic en +Seleccionar miembros y seleccione su aplicación registrada. Revise y asigne. Esto es necesario para que su aplicación pueda acceder a los archivos de registro contenidos en los contenedores Blob de su cuenta de almacenamiento:
4. Haga clic nuevamente en Añadir asignación de roles y seleccione Lector de datos de Blob de almacenamiento.
5. Haga clic en +Seleccionar miembros y seleccione su aplicación registrada. Revise y asigne.
Creación de un Servidor de Base de Datos PostgreSQL
Cree un servidor de base de datos PostgreSQL si aún no dispone de uno. De lo contrario, edite la configuración de su base de datos de acuerdo con los pasos a continuación.
1. Vaya a Servidores de Azure Database para PostgreSQL y cree un nuevo servidor: navegue a Crear -> Servidor flexible -> Crear
2. Proporcione todos los detalles requeridos del servidor
3. En la pestaña Redes, marque Acceso público… y agregue las reglas de firewall necesarias. Complete el despliegue.
4. Navegue a su base de datos PostgreSQL -> Configuración -> Parámetros del servidor y establezca los siguientes parámetros de acuerdo con la tabla a continuación:
| Configuración | Valor requerido |
|---|---|
| log_checkpoints | OFF |
| log_destination | CSVLOG |
| pgaudit.log | ALL |
| shared_preload_libraries | PG_STAT_STATEMENTS, PGAUDIT |
| log_line_prefix | %t-%c-u”%u”u- |
Guarde la configuración
5. Configure su base de datos para almacenar los registros en una cuenta de almacenamiento asociada.
Navegue a Monitoreo -> Configuración de diagnóstico -> Agregar configuración de diagnóstico
Marque tanto Registro del servidor PostgreSQL como Datos de sesiones de PostgreSQL. Luego, marque Archivar en una cuenta de almacenamiento y seleccione su cuenta de almacenamiento
Creación de una Instancia PostgreSQL en DataSunrise
Abra la Consola Web de DataSunrise y navegue a Configuración -> Bases de datos para crear una instancia de base de datos PostgreSQL (consulte el apartado “Creación de un perfil de base de datos objetivo” de la Guía del usuario de DataSunrise para obtener detalles):
Deberá proporcionar la siguiente información:
1. Seleccione Seguimiento de los registros de auditoría de DB en la configuración de la instancia. Complete todos los campos requeridos.
2. Copie el ClientID y el TenantID de su aplicación de Azure para que DataSunrise pueda utilizar la aplicación para descargar los archivos de registro de su PostgreSQL
3. Ingrese el Secreto del Cliente guardado anteriormente (consulte el paso 3 de Registro de una Aplicación de Azure).
4. Ingrese el Nombre del contenedor Blob. Puede encontrar el nombre de su contenedor Blob en Cuentas de almacenamiento -> su cuenta -> Contenedores en la configuración de Azure:
Resultados de la Auditoría
Cree algunas reglas de auditoría para su base de datos PostgreSQL (consulte el apartado “Creación de una regla de auditoría de datos” de la Guía del usuario) y ejecute algunas consultas en su base de datos PostgreSQL. Luego, navegue a Auditoría -> Seguimientos transaccionales para ver los resultados de la auditoría:
