Volver a la página principal
miércoles 25 septiembre 2024
114

Cómo realizar auditorías de bases de datos en PostgreSQL

La auditoría de bases de datos es un aspecto esencial para el control y la seguridad de los sistemas de gestión de bases de datos. PostgreSQL, uno de los sistemas de gestión de bases de datos relacionales más populares y robustos, ofrece varias herramientas y mecanismos que permiten realizar auditorías de manera efectiva. En este artículo, exploraremos cómo utilizar funciones para realizar auditorías en PostgreSQL, incluyendo el uso de extensiones como pgAudit, la creación de triggers y el manejo de logs, entre otros métodos.

¿Qué es una auditoría de base de datos?

Una auditoría de base de datos implica el monitoreo y registro de todas las actividades y transacciones realizadas en una base de datos, con el objetivo de garantizar la seguridad, detectar comportamientos anómalos y cumplir con normativas legales o políticas internas. Las auditorías pueden incluir:

  • Acceso a la base de datos.
  • Modificación de datos (inserciones, actualizaciones, eliminaciones).
  • Cambios en la estructura de la base de datos (creación de tablas, índices, esquemas, etc.).
  • Consultas ejecutadas por los usuarios.
  • Acciones ejecutadas por los administradores del sistema (DBAs).

En PostgreSQL, es posible realizar auditorías mediante distintas aproximaciones, incluyendo el uso de funciones personalizadas, triggers y herramientas externas como pgAudit.

Métodos para realizar auditorías en PostgreSQL

1. Uso de la extensión pgAudit

pgAudit es una de las herramientas más populares para realizar auditorías en PostgreSQL. Proporciona capacidades avanzadas para auditar consultas y transacciones a nivel de sesión o de objeto.

Instalación de pgAudit

Antes de usar pgAudit, es necesario instalar la extensión en PostgreSQL. Para ello, sigue los siguientes pasos:

1. Instalar la extensión: 

CREATE EXTENSION pgaudit;

2. Configurar el archivo postgresql.conf:

Es necesario habilitar y configurar las opciones de auditoría en el archivo de configuración de PostgreSQL (postgresql.conf).

Agrega o modifica las siguientes líneas: 

shared_preload_libraries = 'pgaudit'
   pgaudit.log = 'all'
   pgaudit.log_parameter = on

Reinicia PostgreSQL después de realizar estos cambios: 

sudo systemctl restart postgresql

Configuración de pgAudit

Una vez habilitada, pgAudit permite auditar varios tipos de eventos, como las modificaciones en tablas (INSERT, UPDATE, DELETE), cambios en la estructura de la base de datos, o consultas SELECT.

  • pgAudit.log: Determina qué tipos de comandos deben auditarse. Puedes configurarlo para que audite todos los comandos (all) o solo tipos específicos, como read (para SELECT) o write (para INSERT, UPDATE, DELETE).

Ejemplo de configuración: 

pgaudit.log = 'read, write'

Esta configuración auditará todas las consultas de lectura (SELECT) y escritura (INSERT, UPDATE, DELETE).

2. Auditoría mediante funciones y triggers

Otra forma muy efectiva y flexible de realizar auditorías en PostgreSQL es mediante el uso de funciones y triggers. Esto permite tener un control más granular sobre qué eventos auditar y cómo registrar la información.

Paso 1: Crear una tabla de auditoría

Primero, necesitamos crear una tabla que almacenará los registros de auditoría. Esta tabla contendrá información como el nombre de la tabla afectada, el tipo de operación realizada, el usuario que ejecutó la operación, la fecha y los valores antiguos y nuevos de los registros afectados. 

CREATE TABLE auditoria (
    id SERIAL PRIMARY KEY,
    tabla VARCHAR(50),
    operacion VARCHAR(10),
    usuario VARCHAR(50),
    fecha TIMESTAMP DEFAULT current_timestamp,
    datos_anteriores JSONB,
    datos_nuevos JSONB
);

Paso 2: Crear una función de auditoría

A continuación, creamos una función que se ejecutará cada vez que se realice una operación (INSERT, UPDATE o DELETE) sobre las tablas que queramos auditar. 

CREATE OR REPLACE FUNCTION fn_auditoria() RETURNS trigger AS $$
BEGIN
    IF (TG_OP = 'INSERT') THEN
        INSERT INTO auditoria(tabla, operacion, usuario, datos_nuevos)
        VALUES (TG_TABLE_NAME, TG_OP, SESSION_USER, row_to_json(NEW));
        RETURN NEW;
    ELSIF (TG_OP = 'UPDATE') THEN
        INSERT INTO auditoria(tabla, operacion, usuario, datos_anteriores, datos_nuevos)
        VALUES (TG_TABLE_NAME, TG_OP, SESSION_USER, row_to_json(OLD), row_to_json(NEW));
        RETURN NEW;
    ELSIF (TG_OP = 'DELETE') THEN
        INSERT INTO auditoria(tabla, operacion, usuario, datos_anteriores)
        VALUES (TG_TABLE_NAME, TG_OP, SESSION_USER, row_to_json(OLD));
        RETURN OLD;
    END IF;
END;
$$ LANGUAGE plpgsql;

Esta función utiliza las variables TG_TABLE_NAME, TG_OP, NEW y OLD:

  • TG_TABLE_NAME: Nombre de la tabla afectada.
  • TG_OP: Tipo de operación (INSERT, UPDATE, DELETE).
  • NEW: Valores nuevos del registro (aplicable a INSERT y UPDATE).
  • OLD: Valores antiguos del registro (aplicable a UPDATE y DELETE).

Paso 3: Crear triggers para las tablas que queremos auditar

Finalmente, creamos triggers que ejecuten la función de auditoría cada vez que se realice una operación en las tablas que queremos auditar. 

CREATE TRIGGER trigger_auditoria
AFTER INSERT OR UPDATE OR DELETE ON mi_tabla
FOR EACH ROW EXECUTE FUNCTION fn_auditoria();

Repite este proceso para cada tabla que desees auditar.

3. Auditoría mediante logs de PostgreSQL

Otra opción es auditar las operaciones a través de los logs del servidor PostgreSQL. Esto es útil para capturar información sobre las conexiones de los usuarios, las consultas que ejecutan y posibles errores.

Configuración de los logs en postgresql.conf

Para habilitar la auditoría a través de los logs de PostgreSQL, debes configurar el archivo postgresql.conf para incluir las siguientes opciones: 

log_statement = 'all'  # Registro de todas las consultas
log_duration = on      # Registro de la duración de cada consulta

Esto generará un registro de todas las consultas ejecutadas en la base de datos, lo cual puede ser útil para detectar patrones de acceso o problemas de rendimiento.

4. Auditoría basada en eventos con LISTEN y NOTIFY

PostgreSQL también soporta un sistema de notificaciones basado en eventos que permite realizar auditorías en tiempo real utilizando los comandos LISTEN y NOTIFY.

Uso básico de LISTEN y NOTIFY

1. Emisión de eventos con NOTIFY:

Los triggers pueden emitir notificaciones cuando ocurre un evento, como una inserción o actualización en una tabla. 

NOTIFY auditoria_evento, 'Un registro ha sido insertado en la tabla X';

2. Escuchar eventos con LISTEN:

Otro proceso o aplicación puede estar escuchando estos eventos. 

LISTEN auditoria_evento;

Cada vez que se emita una notificación, el proceso que esté escuchando el canal podrá reaccionar de forma inmediata, lo que es útil para auditorías en tiempo real o sistemas de monitoreo.

Conclusión

PostgreSQL proporciona varias formas de realizar auditorías en una base de datos, desde soluciones simples basadas en logs hasta opciones más sofisticadas como el uso de triggers y funciones personalizadas o extensiones como pgAudit. La elección de un método dependerá de los requisitos específicos del proyecto, como el nivel de detalle de la auditoría, el impacto en el rendimiento y la facilidad de implementación.

La implementación de auditorías no solo mejora la seguridad de la base de datos, sino que también facilita el cumplimiento normativo y la detección de anomalías o accesos indebidos.

Etiquetas:
postgres sql bases de datos
Compartir:
Creado por:
Author photo

Jorge García

Fullstack developer