Diseño de registro de auditoría para sucesos SECMAINT
Los campos de evento SECMAINT registran acciones que conceden o revocan privilegios y autoridades.
Ejemplo de registro de auditoría:
timestamp=1998-06-24-11.57.45.188101;
category=SECMAINT;
audit event=GRANT;
event correlator=4;
event status=0;
database=FOO;
userid=boss;
authid=BOSS;
application id=*LOCAL.boss.980624155728;
application name=db2bp;
package schema=NULLID;
package name=SQLC28A1;
package section=0;
object schema=BOSS;
object name=T1;
object type=TABLE;
grantor=BOSS;
grantee=WORKER;
grantee type=USER;
privilege=SELECT;Cada elemento se muestra en la tabla en el mismo orden en que aparece en el fichero delimitado tras la operación de extracción.
| NOMBRE | Formato | Descripción |
|---|---|---|
| Indicación de fecha y hora | CHAR (26) | Fecha y hora del suceso de auditoría. |
| Categoría | CHAR(8) | Categoría de suceso de auditoría. Los valores posibles son: SECMAINT
|
| Evento de auditoría | VARCHAR(32) | Suceso de auditoría específico. Para obtener una lista de los valores posibles, consulte la sección correspondiente a la categoría SECMAINT en Eventos de auditoría. |
| Correlacionador de sucesos | ENTERO | Identificador de correlación para la operación que se está auditando. Se puede utilizar para identificar qué registros de auditoría están asociados a un único suceso. |
| Estado del suceso | ENTERO | Estado del suceso de auditoría, representado por un SQLCODE donde Suceso satisfactorio > = 0
Suceso anómalo < 0 |
| Nombre de base de datos | CHAR(8) | Nombre de la base de datos para la que se ha generado el suceso. En blanco si se trataba de un suceso de auditoría de nivel de instancia. |
| ID de usuario | VARCHAR(1024) | ID de usuario en el momento del suceso de auditoría. |
| ID de autorización | VARCHAR(128) | ID de autorización en el momento del suceso de auditoría. |
| Número de nodo de origen | SMALLINT | Número de miembro en el que se ha producido el suceso de auditoría. |
| Número de nodo coordinador | SMALLINT | Número de miembro del miembro coordinador. |
| ID de aplicación | VARCHAR(255) | ID de aplicación en uso en el momento en que se produjo el suceso de auditoría. |
| Nombre de aplicación | VARCHAR(1024) | Nombre de aplicación en uso en el momento en que se produjo el suceso de auditoría. |
| Esquema de paquete | VARCHAR(128) | Esquema del paquete en uso en el momento del suceso de auditoría. |
| Nombre de paquete | VARCHAR(128) | Nombre del paquete en uso en el momento en que se produjo el suceso de auditoría. |
| Número de sección de paquete | SMALLINT | Número de sección en el paquete que se utiliza en el momento en que se produjo el evento de auditoría. |
| Esquema de objeto | VARCHAR(128) | Esquema del objeto para el que se ha generado el suceso de auditoría. Si el campo de tipo de objeto es ACCESS_RULE, este campo contiene el nombre de política de seguridad asociado a la regla. El nombre de la regla se almacena en el campo Nombre de objeto. Si el campo de tipo de objeto es SECURITY_LABEL, este campo contiene el nombre de la política de seguridad de la que forma parte la etiqueta de seguridad. El nombre de la etiqueta de seguridad se almacena en el campo Nombre de objeto. |
| Nombre de objeto | VARCHAR(128) | Nombre del objeto para el que se ha generado el suceso de auditoría. Representa un nombre de rol cuando el suceso de auditoría es cualquiera de los siguientes:
Si el campo de tipo de objeto es ACCESS_RULE, este campo contiene el nombre de la regla. El nombre de política de seguridad asociado a la regla se almacena en el campo Esquema de objeto. Si el campo de tipo de objeto es SECURITY_LABEL, este campo contiene el nombre de la etiqueta de seguridad. El nombre de la política de seguridad de la que forma parte se almacena en el campo Esquema de objeto. |
| Tipo de objeto | VARCHAR(32) | Tipo de objeto para el que se ha generado el suceso de auditoría. Los valores posibles son: los que se muestran en el tema titulado Tipos de objeto de registro de auditoría. El valor es ROLE cuando el suceso de auditoría es cualquiera de los siguientes:
|
| Otorgador | VARCHAR(128) | El ID del otorgante o el revocador del privilegio o autoridad. |
| Otorgado | VARCHAR(128) | ID de receptor de autorización para el que se ha otorgado o revocado un privilegio o autoridad. Representa un objeto de contexto fiable cuando el suceso de auditoría es cualquiera de los siguientes:
|
| Tipo de receptor de autorización | VARCHAR(32) | Tipo del receptor de autorización al que se ha otorgado o desde el que se ha revocado. Los valores posibles son: USER, GROUP, ROLE, AMBIGUO o es TRUSTED_CONTEXT cuando el suceso de auditoría es cualquiera de los siguientes:
|
| Privilegio o autoridad | CHAR (34)
|
Indica el tipo de privilegio o autorización otorgada o revocada. Los valores posibles son: los que se muestran en el tema titulado Lista de posibles privilegios o autorizaciones SECMAINT. El valor es ROLE MEMBERSHIP cuando el suceso de auditoría es cualquiera de los siguientes:
|
| Versión del paquete | VARCHAR(64) | Versión del paquete en uso en el momento en que se produjo el suceso de auditoría. |
| Tipo de acceso | VARCHAR(32) | El tipo de acceso para el que se otorga una etiqueta de seguridad. Valores posibles:
El tipo de acceso para el que se modifica una política de seguridad. Valores posibles:
|
| ID de autorización asumible | VARCHAR(128) | Cuando el privilegio otorgado es un privilegio SETSESSIONUSER, este es el ID de autorización que el receptor de autorización puede establecer como usuario de sesión. |
| ID de transacción local | VARCHAR (10) FOR BIT DATA | El ID de transacción local en uso en el momento en que se produjo el suceso de auditoría. Esta es la estructura SQLU_TID que forma parte de los registros de transacciones. |
| ID de transacción global | VARCHAR (30) FOR BIT DATA | El ID de transacción global en uso en el momento en que se produjo el suceso de auditoría. Este es el campo de datos de la estructura SQLP_GXID que forma parte de los registros de transacciones. |
| Tipo de otorgante | VARCHAR(32) | Tipo del otorgante. Los valores posibles son: USER. |
| ID de usuario cliente | VARCHAR(255) | El valor del registro especial CURRENT CLIENT USERID en el momento en que se produjo el suceso de auditoría. |
| Nombre de estación de trabajo cliente | VARCHAR(255) | El valor del registro especial CURRENT CLIENT_WRKSTNNAME en el momento en que se produjo el suceso de auditoría. |
| Nombre de la aplicación cliente | VARCHAR(255) | El valor del registro especial CURRENT CLIENT_APPLNAME en el momento en que se produjo el suceso de auditoría. |
| Cadena de contabilidad de cliente | VARCHAR(255) | El valor del registro especial CURRENT CLIENT_ACCTNG en el momento en que se produjo el suceso de auditoría. |
| usuario de contexto fiable | VARCHAR(128) | Identifica un usuario de contexto fiable cuando el suceso de auditoría es ADD_USER o DROP_USER. |
| Autenticación de usuario de contexto fiable | ENTERO | Especifica el valor de autenticación para un usuario de contexto fiable cuando el suceso de auditoría es ADD_USER, DROP_USER o ALTER_USER_AUTHENTICATION 1: La autenticación es necesaria
0: la autenticación no es necesaria |
| Nombre de contexto fiable | VARCHAR(255) | El nombre del contexto fiable asociado a la conexión fiable. |
| Tipo de confianza de conexión | CHAR(1) | Los valores posibles son:
''-NONE '1'-IMPLICIT_TRUSTED_CONNECTION '2'-EXPLICIT_TRUSTED_CONNECTION |
| Rol heredado | VARCHAR(128) | El rol heredado a través de una conexión fiable. |
| Nombre de objeto asociado | VARCHAR(128) | Nombre del objeto para el que existe una asociación. El significado de la asociación depende del tipo de objeto para el suceso. Si el tipo de objeto es PERMISSION o MASK, el objeto asociado es la tabla en la que se ha creado dicho permiso o máscara. |
| Esquema de objeto asociado | VARCHAR(128) | Nombre del esquema de objeto para el que existe una asociación. El significado de la asociación depende del tipo de objeto del suceso. |
| Tipo de objeto asociado | VARCHAR(128) | El tipo del objeto para el que existe una asociación. El significado de la asociación depende del tipo de objeto del suceso. |
| Tipo de subobjeto asociado | VARCHAR(128) | El tipo del subobjeto para el que existe una asociación. El significado de la asociación depende del tipo de objeto del suceso. Si el tipo de objeto es MASK y el tipo de objeto asociado es TABLE, el subobjeto asociado es la columna de la tabla en la que se ha creado la máscara. |
| Nombre de subobjeto asociado | VARCHAR(128) | Nombre del subobjeto para el que existe una asociación. El significado de la asociación depende del tipo de objeto del suceso. |
| Modificar acción | VARCHAR(32) | Acción de modificación específica.
Los valores posibles incluyen:
|
| Seguro | VARCHAR(32) | Especifica si el objeto es un objeto seguro. |
| State | VARCHAR(32) | Especifica el estado del objeto. El estado depende del tipo de objeto.
Los valores posibles incluyen:
|
| Control de accesos | VARCHAR(32) | Especifica con qué tipo de control de acceso está protegido el objeto.
Los valores posibles incluyen:
|
| ID de usuario original | VARCHAR(1024) | El valor de la variable global CLIENT_ORIGUSERID en el momento en que se produjo el suceso de auditoría. |
| Nombre de instancia | VARCHAR(128) | Nombre de la instancia en uso en el momento en que se produjo el evento de auditoría. |
| Nombre de host | VARCHAR(255) | Nombre de host en uso en el momento en que se produjo el evento de auditoría. |
| Nombre de arrendatario | VARCHAR(128) | Nombre de arrendatario en uso en el momento en que se produjo el suceso de auditoría. |