Tutorial: Configuración de registros de auditoría mediante el servidor flexible de Azure Database for MySQL
SE APLICA A: Azure Database for MySQL: servidor flexible
Puede usar el servidor flexible de Azure Database for MySQL para configurar los registros de auditoría. Los registros de auditoría se pueden usar para realizar un seguimiento de la actividad en el nivel de la base de datos, incluidos los eventos de conexión, administración, lenguaje de definición de datos (DDL) y lenguaje de manipulación de datos (DML). Estos tipos de registros se usan normalmente para fines de cumplimiento. Normalmente se usa la auditoría de base de datos para:
- Reconocer todas las acciones que se suceden dentro de un esquema, tabla o fila determinados, o que afectan a contenido específico.
- Impedir que los usuarios (u otros) puedan realizar acciones inapropiadas en función de su responsabilidad.
- Investigar una actividad sospechosa.
- Supervisar y recopilar datos sobre actividades específicas de la base de datos.
En este artículo se describe cómo usar los registros de auditoría de MySQL, las herramientas de Log Analytics o una plantilla de libro para visualizar información de auditoría del servidor flexible de Azure Database for MySQL.
En este tutorial, aprenderá a:
- Configurar la auditoría mediante Azure Portal o la CLI de Azure
- Configuración de diagnósticos
- Visualizar los registros de auditoría mediante Log Analytics
- Visualizar los registros de auditoría mediante libros
Requisitos previos
- Creación de una instancia de servidor flexible de Azure Database for MySQL.
- Crear un área de trabajo de Log Analytics.
Configuración de la auditoría con Azure Portal
Inicie sesión en Azure Portal.
Seleccione la instancia de servidor flexible.
En el panel izquierdo, en Configuración, seleccione Parámetros del servidor.
Para el parámetro audit_log_enabled, seleccione ACTIVADO.
En el parámetro audit_log_events, en la lista desplegable, seleccione los tipos de eventos que se van a registrar.
En los parámetros audit_log_exclude_users y audit_log_include_users especifique todos los usuarios de MySQL que se van a incluir o excluir del registro. Para ello, proporcione sus nombres de usuario de MySQL.
Seleccione Guardar.
Configuración de la auditoría mediante la CLI de Azure
Como alternativa, puede habilitar y configurar la auditoría para el servidor flexible desde la CLI de Azure mediante el siguiente comando:
# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON
Configuración de diagnósticos
Los registros de auditorías se integran con la configuración de diagnóstico de Azure Monitor para permitirle canalizar sus registros a cualquiera de los tres receptores de datos.
- Un área de trabajo de Log Analytics
- Un centro de eventos
- Una cuenta de almacenamiento
Nota
Debe crear los receptores de datos antes de realizar la configuración de diagnóstico. Puede acceder a los registros de auditoría de los receptores de datos que ha configurado. Los registros pueden tardar hasta 10 minutos en aparecer.
En el panel de la izquierda, seleccione Configuración de diagnóstico en Supervisión.
En el panel Configuración de diagnóstico, seleccione Agregar configuración de diagnóstico.
En el cuadro Nombre, escriba un nombre para la configuración de diagnóstico.
Especifique los destinos (área de trabajo de Log Analytics, un centro de eventos o una cuenta de almacenamiento) a los que enviar los registros de auditoría; para ello, active sus casillas correspondientes.
Nota
En este tutorial, enviará los registros de auditorías a un área de trabajo de Log Analytics.
En Registro, como tipo de registro, active la casilla MySqlAuditLogs.
Una vez que haya configurado los receptores de datos a los que canalizar los registros de auditorías, seleccione Guardar.
Visualizar los registros de auditoría mediante Log Analytics
En el panel izquierdo de Log Analytics, en Supervisión, seleccione Registros.
Cierre la ventana Consultas.
En la ventana de consulta, puede escribir la consulta que se va a ejecutar. Por ejemplo, para buscar un resumen de los eventos auditados en un servidor determinado, hemos usado la consulta siguiente:
AzureDiagnostics |where Category =='MySqlAuditLogs' |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s |summarize count() by event_class_s,event_subclass_s |order by event_class_s
Visualizar los registros de auditoría mediante libros
La plantilla de libro que usamos para la auditoría requiere que se cree la configuración de diagnóstico para enviar registros de plataforma.
En Azure Monitor, en el panel izquierdo, seleccione Registro de actividad y, a continuación, seleccione Configuración de diagnóstico.
En el panel Configuración de diagnóstico, puede agregar una nueva configuración o editar una existente. Cada configuración no puede tener más de uno de los tipos de destino.
Nota
Puede acceder a los registros de consultas lentos en los receptores de datos que ya ha configurado (área de trabajo de Log Analytics, cuenta de almacenamiento o centro de eventos). Los registros pueden tardar hasta 10 minutos en aparecer.
En el panel izquierdo de Azure Portal, en la hoja Supervisión de la instancia del servidor flexible de Azure Database for MySQL, seleccione Libros.
Seleccione el libro Auditoría.
En el libro, puede observar las visualizaciones siguientes:
- Acciones administrativas en el servicio
- Resumen de auditoría
- Resumen de eventos de conexión de auditoría
- Eventos de conexión de auditoría
- Resumen de acceso a tablas
- Errores identificados
Nota
- También puede editar estas plantillas y personalizarlas según sus necesidades. Para más información, consulte la sección "Modo de edición" de Libros de Azure.
- Para obtener una vista rápida, también puede hacer anclar los libros o la consulta de Log Analytics al panel. Para más información, consulte Creación de un panel en Azure Portal.
La vista Acciones administrativas en el servicio le proporciona detalles sobre la actividad realizada en el servicio. Ayuda a determinar la información de qué, quién y cuándo en las operaciones de escritura (PUT, POST, DELETE) que se realizan en los recursos de la suscripción.
Puede usar otras visualizaciones para ayudarle a comprender los detalles de la actividad de la base de datos. La seguridad de la base de datos tiene cuatro partes:
- Seguridad del servidor: es la responsable de impedir que personal no autorizado acceda a la base de datos.
- Conexión de base de datos: el administrador debe comprobar si el personal autorizado ha realizado alguna actualización de la base de datos.
- Control de acceso a tablas: muestra las claves de acceso de los usuarios autorizados y qué tablas de la base de datos están autorizados a controlar cada uno de ellos.
- Restricción de acceso a la base de datos: especialmente importante para aquellos que han cargado una base de datos en Internet y ayuda a evitar que orígenes externos obtengan acceso a la base de datos.
Pasos siguientes
- Más información sobre los libros de Azure Monitor y sus opciones de visualización enriquecidas.
- Más información sobre los registros de auditoría