Asignatura: Base de Datos II

Unidad II: Mantenimiento de Base de Datos

Tema: Auditoría de Base de Datos

1. Contenido

Auditoría Informática

Consiste en la evaluación completa de la función informática de una organización o empresa, dicha auditoría
está a cargo de personal calificado en la materia, está orientada en la verificación y aseguramiento de que
las políticas y procedimientos establecidos de la función informática, se lleven a cabo de manera oportuna y
eficiente operando en un ambiente de seguridad y control para generar confiabilidad, integridad y exactitud
en los datos.

Auditoría de Base de Datos

Parte de la evaluación informática comprende el área de Base de Datos, como es bien sabido, se compone
de un conjunto de datos con características como la independencia e integridad de los datos, las consultas
complejas, respaldo y recuperación, redundancia mínima, la seguridad de acceso entre otros.

La auditoría de Base de Datos debe conocer de forma exacta cuál es la relación de los usuarios a la hora de
acceder a las bases de datos, incluyendo las actuaciones que deriven en una generación, modificación o
eliminación de datos. Los gestores de base de datos proveen de herramientas para dar el seguimiento y
registro de eventos que ocurren, sin embargo, estas herramientas están supeditadas al tipo de licencia
contratada y la capacidad del servidor para dar respuesta a las solicitudes de registro de eventos.

En resumen, la auditoría de base de datos debe evaluar al menos los siguientes elementos:

• Esquema relacional de base de datos

• Usuarios y Esquema de Permisos
• Procedimientos almacenados
• Funciones
• Condiciones de Seguridad
• Condiciones físicas y capacidad del servidor
• Respaldo y restauraciones
 • Gestión de los archivos de base de datos incluyendo los índices y su administración.
• Planes de mantenimiento
• Seguimiento de eventos con trazas
• Optimización del servicio de base de datos y capacidad de respuesta
• Normativa de administración de las bases de datos de la organización u empresa

Para el desarrollo de esta guía de laboratorio se estará utilizando la herramienta de Microsoft SQL Server con
el componente SQL Server Audit en el cual se pueden programar especificaciones de auditoría a nivel de
servidor y base de datos.

SQL Server Audit

El objeto de SQL Server Audit recoge una sola instancia de servidor o base de datos de las acciones a escala
organizado en grupos de acciones para el seguimiento. El administrador de Base de Datos puede tener
múltiples auditorías por cada instancia de SQL Server, cuando se define una auditoría, se especifica la
ubicación de la salida de los resultados, este es el destino del registro de eventos de auditoría. Una vez que
la auditoría está habilitada, el destino de la auditoría recibe los datos según lo programado en el grupo de
acciones para el seguimiento.
1

En SQL Server cada especificación de auditoría

a nivel de servidor o base de datos puede
generar un grupo de seguimiento de eventos
los que pueden ser generales o detallados a
nivel de base de datos, objetos, roles y usuarios
del sistema.

Dichos registros serán registrados en un target

de eventos que respalda en disco las auditorías
realizadas, en caso de ser eliminada las
auditorías de la herramienta, estas podrán ser
accedidas desde el target.

1
https://docs.microsoft.com/es-es/sql/relational-databases/security/auditing/sql-server-audit-database-
engine?view=sql-server-ver15
 2. Práctica de Laboratorio

Especificación de Auditoría de Servidor

En este ejemplo estaremos realizando una auditoría de servidor para registrar los eventos de cambios de
contraseña a los inicios de sesión en la herramienta de Microsoft SQLSERVER.
Desde el Management Studio de SQL Server, acceda a la carpeta Seguridad en el explorador de Objetos y
ubique la carpeta Auditoría.

Seleccionamos New Audit

A como se puede observar, Microsoft SQL SERVER organiza los procesos de auditoría dentro de la carpeta
principal de seguridad del gestor, por otra parte, cada una de las bases de datos administra su propia carpeta
de seguridad administrando en ella sus propios procesos de auditoría.
Ingresamos el nombre de la auditoría y ubicamos la dirección donde se creará el archivo de auditoría para
respaldo. Como buena práctica de administración se recomienda organizar los SQLSERVER AUDIT en base a
un tipo de evento común en el servidor o por base de datos según el caso, esto ayudará a llevar una
organización más controlada de las operaciones facilitando el seguimiento.

Cabe mencionar que solo serán programados aquellos que sean necesarios para dar seguimiento de acuerdo
a las normativas de trabajo establecidas en la organización.
Una vez creado el proceso de auditoría seleccionamos Enable Audit para habilitar el proceso de registro de
eventos.
Luego seleccionamos New Server Audit Specifications.
En el nombre colocamos Auditoría de Cambios de Contraseña e Inicios de Sesión, en la segunda casilla
seleccionamos Auditoría de Servidor que hace referencia al archivo que creamos en la carpeta auditoría con
dicho nombre.
Dado que esta es una auditoría a nivel de servidor, no es necesario especificar a detalle los objetos, esquemas
o usuarios, por lo tanto, cualquier evento generado de cualquier base de datos, será registrado por las
auditorías de nivel de servidor según el tipo.

En este ejemplo seleccionamos la especificación de auditoría de servidor

LOGIN_CHANGE_PASSWORD_GROUP el cual registra los cambios de contraseña a los inicios de sesión de la
instancia de SQL SERVER, realizada por cualquier inicio de sesión con los permisos para realizar dicha acción.
Seleccionamos dicha opción y damos OK.
Se tiene que habilitar la especificación de auditoría creada.

En caso de modificar dicha especificación, se tiene que deshabilitar y luego realizar la actualización.
Para verificar el funcionamiento de la auditoría, realizamos una cuenta de inicio de sesión. Luego
cambiamos la contraseña de dicha cuenta.

Para observar dicho evento seleccionamos View Audit Logs

A como se muestra en la imagen, el proceso de auditoría fue registrado exitosamente. Los detalles de dicho
proceso revelan un grupo de datos interesantes tales como: Fecha del evento, tipo de acción auditado, en
este caso fue el cambio de password, el éxito del trabajo, el nombre del inicio de sesión que realiza la acción
y la instrucción SQL ejecutada.
Especificación de Auditoría de Base de Datos

En este ejemplo estaremos creando un evento de auditoría de base de datos que registre el proceso de
selección de usuario en la tabla Employees de la BD Northwind.

Una vez más seleccionamos New Audit de la carpeta de Auditoría. Con este componente administraremos
las auditorías a nivel de base de datos.

En el nombre colocamos Auditoría de Base de Datos y

agregamos la dirección donde se guardará el archivo de
eventos.

Se recomienda tener un espacio dedicado y restringido

para registrar dicha información.
Damos clic derecho en el proceso y habilitamos su
funcionamiento.

Ingresamos la BD Northwind, Seleccionamos la carpeta

seguridad de la base de datos y ubicamos la carpeta de
Database Audit Specification. Damos clic derecho y
creamos una nueva especificación.
En el nombre agregamos evento de selección.

En Auditoría seleccionamos Auditoría de Base de

Datos.

En el tipo de acción seleccionamos SELECT

Seleccionamos la opción de OBJECT en la

opción de Object Class.

Seleccionamos la tabla Empleados en

Object Name.

Seleccionamos el nombre del usuario de la

base de datos que se llama acceso.

Una vez finalizada la configuración

podemos seleccionar OK para confirmar la
creación del evento de auditoría.
 Habilitar el proceso de auditoría de base
de datos creado.

En el servidor se tiene un inicio de sesión llamado Acceso el cual tiene un usuario en la base de datos
Northwind con el mismo nombre. Para realizar la prueba del proceso de auditoría debe conectarse con
dicho usuario y seleccionar la tabla Employees
Desde la cuenta de Administrador Sysadmin, seleccionamos la carpeta auditoría y seleccionamos el proceso
creado Auditoría de Base de Datos, clic derecho y seleccionar View Audit Logs
Efectivamente se muestra el registro del evento de auditoría de base de datos, los datos interesantes son:
la fecha, el tipo de objeto auditado que en este caso es una tabla, el nombre del inicio de sesión con el
usuario correspondiente en la base de datos, la instrucción SQL utilizada y la IP de la máquina donde se
originó el proceso.
 3. Tarea

Realizar:

• Cinco eventos de auditoría de servidor relacionados a la administración de inicios de sesión

en el servidor.
• Cinco eventos de auditoría de base de datos relacionados a la administración de esquemas.

Excluir los eventos realizados en la demostración de esta guía y video conferencia.