5.3.

- MONITOREO Y AUDITORIA DE LA BASE DE DATOS

La auditora y la proteccin de bases de datos (DAP) representa un avance
evolutivo importante con respecto a anteriores herramientas de monitoreo de
actividad en bases de datos (DAM). Los gerentes de seguridad, los
administradores de bases de datos (DBAs) y otros interesados, que estn
preocupados con proteger datos sensibles en las bases de datos, deben
evaluar estas herramientas.
5.3.1 MONITOREO
El trmino Monitoreo es un trmino no incluido en el diccionario de la Real
Academia Espaola (RAE). Su origen se encuentra en monitor, que es un
aparato que toma imgenes de instalaciones filmadoras o sensores y que
permite visualizar algo en una pantalla. El monitor, por lo tanto, ayuda a
controlar o supervisar una situacin.
Esto nos permite inferir que monitoreo es la accin y efecto de monitorear, el
verbo que se utiliza para nombrar a la supervisin o el control a travs de un
monitor. Por extensin, el monitoreo es cualquier accin de este tipo, ms all
de la utilizacin de un monitor.
5.3.1.1 MONITOREO GENERAL DE UN DBMS
DAP un trmino que Gartner desarroll para remplazar el anterior concepto
de DAM se refiere a las suites de herramientas que se utilizan para apoyar la
identificacin y reportar comportamiento inapropiado, ilegal o de otra forma
indeseable en las RDBMSs, con mnimo impacto en las operaciones y la
productividad del usuario. Estas suites han evolucionado de herramientas DAM
que ofrecan anlisis de la actividad del usuario en las RDBMSs y alrededor
de ellas para abarcar un conjunto ms integral de capacidades, que incluyen:
Descubrimiento y clasificacin.
Gestin de vulnerabilidades.
Anlisis al nivel de aplicacin.
Prevencin de intrusin.
Soporte de seguridad de datos no estructurados.
Integracin de gestin de identidad y acceso.
Soporte de gestin de riesgos.
5.3.1.2 MONITOREO DE ESPACIO EN DISCO

El espacio en disco.
El abaratamiento de los discos ha reducido considerablemente la incidencia del
espacio ocupado por los usuarios. No obstante, los discos requieren
administracin: hay que instalarlos, darles formato, montarlos en otras
mquinas, respaldarlos, monitorearlos. Aunque el espacio en disco sea
suficiente, es preciso insistir ante los usuarios para hacer un uso racional del

recurso.
Comandos para el monitoreo del espacio en disco
quot
du
El comando
du
da un resumen del uso de disco en una rama de directorios.
du -s /export/home/*
Muestra el total para cada rama de subdirectorio bajo /export/home;
Esto no es efectivo para ver el consumo total de cada usuario si los usuarios
tienen archivos en otras partes del sistema.
df
El comando
df
da un resumen del uso del espacio a nivel de todo el sistema:
df
Muestra el espacio utilizado en cada sistema de archivos, incluso a veces en los
que estn montados va NFS. Si se indica uno en particular, da el espacio
utilizado en ese sistema de archivos: df /dev/hda2.
El comando
quot
informa sobre el espacio en disco consumido por los usuarios en cada sistema
de archivos: quot -f /dev/hda2
Proporciona una lista de la cantidad de bloques y archivos a nombre de cada
usuario.
5.3.1.3 MONITOREO DE LOGS
Monitorear el log de transacciones es una de las actividades ms importantes
para los administradores de bases de datos, ya que en caso de que este llegara
a llenarse, no podran llevarse a cabo ms transacciones sobre esta base de
datos quedando fuera de servicio.
Monitoreando el log de transacciones(SQL SERVER)
Monitorear el log regularmente puede ayudarnos a resolver varios problemas
dentro de nuestros sistemas, ya que este puede indicarnos si existen
demasiadas transacciones realizadas por una sola aplicacin, que podra
resultar en un mal diseo o simplemente la necesidad de planear mejor los
recursos de log en nuestro servidor de base de datos.
Monitoreo de Logs
Una de ellas es mediante un comando desde el analizador de consultas:

Desde el analizador de consultas ejecutar el comando DBCC

SQLPERF(LOGSPACE).

Monitoreo de Logs
La otra utilizando los contadores de SQL Server desde el sistema operativo.
Monitoreo de Log transacciones
La manera de monitorear un log de transacciones, puede llevarse a cabo de 2
maneras
5.3.1.4 MONITOREO DE MEMORIA COMPARTIDA
SGA de Oracle (Sistema de rea Global)
Es un conjunto de reas de memoria compartida "instancia" (un ejemplo es los
programas de bases de datos y la memoria RAM).
Sirve para facilitar la transferencia de informacin entre usuarios y tambin
almacena la informacin estructural de la BD ms frecuentemente requerida.
La SGA se divide en varias partes:
Buffers de BD, Database Buffer Cache
Es el cach que almacena los bloques de datos ledos de los segmentos de
datos de la BD, tales como tablas, ndices y clusters. Los bloques modificados
se llamas bloques sucios. El tamao de buffer cach se fija por el parmetro
DB_BLOCK_BUFFERS del fichero init.ora.
Buffer Redo Log
Los registros Redo describen los cambios realizados en la BD y son escritos en
los ficheros redo log para que puedan ser utilizados en las operaciones de
recuperacin hacia adelante, roll-forward, durante las recuperaciones de la BD.
Pero antes de guardar cambios en los ficheros redo log, son escritos en un
cach de la SGA llamado redo log buffer.
rea de SQL Compartido, Shared SQL Pool
En esta zona se encuentran las sentencias SQL que han sido analizadas. El
anlisis sintctico de las sentencias SQL lleva su tiempo y Oracle mantiene las
estructuras asociadas a cada sentencia SQL analizada durante el tiempo que
pueda para ver si puede reutilizarlas. Antes de analizar una sentencia SQL,
Oracle mira a ver si encuentra otra sentencia exactamente igual en la zona de
SQL compartido. Si es as, no la analiza y pasa directamente a ejecutar la que
mantiene en memoria. De esta manera se premia la uniformidad en la
programacin de las aplicaciones.
5.3.1.5 MONITOREO DE BASE DE DATOS
Procedimiento Monitoreo de la Base
de Datos Oracle10g

Se establece que se debe realizar una revisin peridica mensual de la base de

datos institucional (Oracle10g), con la finalidad de identificar oportunamente

cualquier anomala que pueda afectar el rendimiento de la misma. El

encargado de realizar este proceso es el Administrador de la Base de Datos, en
la Unidad de Informtica del CATIE.
Revisin de las Tablas del Esquema APLIC
A. Verificar que el tablespace este asignado correctamente a uno vlido para el
Esquema.
B. Que no se encuentre particionada.
D. Que el nmero de registros no exceda el tamao segn la funcionalidad de
cada tabla.
Revisin de los ndices del Esquema APLIC
A. Verificar que el tablespace este asignado correctamente a uno vlido para el
Esquema
B. Que no se encuentre particionado
C. Que el estado sea vlido.
Revisin de los Procedimientos del Esquema APLIC
A. Verificar que el estado sea vlido
Revisin de los Tablespaces en Almacenamiento
A. Verificar el estado sea ONLINE
B. Que el espacio usado no sobre pase el 85%, si no debe asignrsele ms
espacio en disco.
Revisin de los Archivos de Datos en Almacenamiento
A. Verificar el estado sea ONLINE
B. Si el espacio usado no sobre pase el 85%, debe asignrsele ms espacio en
disco, creando un nuevo archivo de datos.
Revisin de los Segmentos de RollBack en Almacenamiento
A. Verificar el estado sea ONLINE
MONITOREO DE BASE DE DATOS
Revisin del espacio fsico desde el S.O. del servidor ADMIN. (root)
A. Ejecutar el comando:
$ df -k | grep dsk

5.3.1.6 MONITOREO DE MODOS DE OPERACION

Varios Consejos tcnicos y libros se han escrito en los ltimos aos sobre la
modalidad de operaciones continua para garantizar copias de seguridad
adecuadas en la Base de Datos.
Sin embargo, poco se ha dicho acerca de la supervisin en este modo de
operacion,por ello se ha escrito este consejo tecnico para saber como hacer
copias de seguridad mas fluidas.
CUAL ES EL MODO DE FUNCIONAMIENTO CONTINUO?
*Es un modo especial en las bases de datos especializadas.
*Permite realizar copias de seguridad instantanea en su entorno.
*Se puede realizar en cualquier momento del dia.
*Escribe un archivo fisico independiente llamado
"archivo delta"
*Se obtiene una copia de seguridad que incluye el estado de la base de datos
en un solo momnto en el tiempo.
5.3.1.7 MONITOREO DE ESPACIOS ESPEJEADOS
5.3.2 AUDITORIA
Es la actividad consistente en la emisin de una opinin profesional sobre si el
objeto sometido a anlisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple con las condiciones que le han sido prescritas.
5.3.2.1 HABILITACION Y DESHABILITAR EL MODO AUDITORIA
Funcionamiento comando audit (Oracle):
El comando audit permite iniciar los tipos de auditora que a continuacin se
detallan. Este comando puede funcionar aunque no est activada la auditora
de la base de datos, pero no dejar constancia, para que funcione
correctamente es necesario que la auditora est activada.
Sintaxis:
AUDIT
{ sql_statement_clause | schema_object_clause | NETWORK }
[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ;

sql_statement_clause
: activa la auditora para una sentencia SQL concreta.

schema_object_clause
: activa la auditora para un objeto concreto de la base de datos.

WHENEVER SUCCESSFUL
: activa la auditora slo para operaciones e instrucciones SQL en objetos de

esquema que se completen con xito.

WHENEVER NOT SUCCESSFUL

: activa la auditora slo para operaciones e instrucciones SQL en objetos de
esquema que originen error.
Funcionamiento comando noaudit:
La instruccin noaudit se utiliza para detener la actividad de auditora que se
haba activado previamente con la instruccin audit. Esta instruccin no influye
en el parmetro audit_trail.
Sintaxis:
NOAUDIT
{ sql_statement_clause | schema_object_clause | NETWORK}
[WHENEVER [NOT] SUCCESSFUL];

sql_statement_clause
: detiene la auditoria de una sentencia SQL concreta.

schema_object_clause
: detiene la auditora para un objeto concreto de la base de datos.

WHENEVER SUCCESSFUL
: detiene la auditora slo para operaciones e instrucciones SQL en objetos de
esquema que se completen con xito.

WHENEVER NOT SUCCESSFUL

: detiene la auditora slo para operaciones e instrucciones SQL en objetos de
esquema que originen error.
5.3.2.2 CONSULTA DE LAS TABLAS VISTAS CON LA INFORMACION DE LA
AUDITORIA
Dependiendo del tipo de auditora que queramos consultar utilizaremos una u
otra consulta SQL.
Para el caso de la auditora de inicio de sesin utilizaremos la siguiente
consulta SQL:
select OS_Username Usuario_SO,
Username Usuario_Oracle, Terminal ID_Terminal,
DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null',
1017, 'Fallo', Returncode) Tipo_Suceso,
TO_CHAR(Timestamp, 'DD-MM-YY HH24:MI:SS') Hora_Inicio_Sesion,
TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion
from DBA_AUDIT_SESSION;

Para el caso de la auditora de accin utilizaremos la siguiente consulta SQL:

select OS_Username Usuario_SO,

Username Usuario_Oracle, Terminal ID_Terminal,
Owner Propietario_Objeto,
Obj_Name Nombre_Objeto,
Action_Name Accion,
DECODE (Returncode, '0', 'Realizado', 'Returncode') Tipo_Suceso,
TO_CHAR (Timestamp, 'DD-MM-YY HH24:MI:SS') Hora
from DBA_AUDIT_OBJECT;
5.4.- HERRAMIENTAS DE SOFTWARE Y HARDWARE PARA MONITOREO Y
ADMINISTRACION AUTOMATICA
Herramientas de Microsoft SQL Server
Estas herramientas son el Profiler y el Performance monitor.
*Permiten ver los procesos en ejecucion del servidor
*Ayudan a ver como esta el rendimiento del sistema
PROFILER
-Permite crear trace para dar seguimiento a las ejecuciones y consultas que se
ejecutan en el servidor
-Podemos tener acceso en la direccin Start > Program Files > Microsoft SQL
Server > Profiler.
-Se pueden filtar traces especificando el nombre de la aplicacion a la que se le
quiere dar seguimiento.
PERFORMANCE MONITOR
-Con esta herramienta se visualiza como se esta comportando el disco duro
-A demas de como la base de datos utiliza la memoria y el procesador del
servidor los cuales deberan mantenerse por debajo de un 20%
Herramientas de MySql
MySQL-Proxy
es una herramienta para monitorear y optimizar consultas y bsquedas.
1.- Hacer un Log de todas las consultas que recibe el Servidor
2.- Denegar consultas peligrosas que puedan daar nuestra base de datos
3.- Generar Alias de comandos comunes por ejemplo SLE se podra convertir en
SELECT
4.- Balancear la carga entre varios servidores de MySQL en un esquema de
Master/Slave
5.- Dar prioridad a ciertas consultas para acelerar la respuesta del servidor