systemdba

acerca de mí

Cómo enviar la auditoría de Oracle a un SIEM mediante rsyslog

En entornos empresariales, centralizar los registros de seguridad es vital para el cumplimiento y la respuesta ante incidentes. Oracle Database genera registros de auditoría críticos que, a menudo, quedan aislados en la base de datos. En este artículo, aprenderás a configurar Oracle para que escriba su auditoría en el registro del sistema operativo y cómo utilizar rsyslog para reenviar esos eventos en tiempo real a tu SIEM (como Splunk, QRadar o Sentinel).

Proceso de Configuración

1. Configuración de la Base de Datos Oracle

El primer paso es redirigir la salida de la auditoría desde las tablas internas hacia el sistema operativo, definiendo una categoría (Facility) y nivel de severidad.

  • Acceda a la base de datos como administrador:
    sqlplus / as sysdba
    • Ejecute los siguientes comandos para configurar el destino y el nivel de Syslog:
    ALTER SYSTEM SET audit_trail='OS' SCOPE=SPFILE;
    ALTER SYSTEM SET audit_syslog_level='LOCAL0.INFO' SCOPE=SPFILE;
    • Reinicie la instancia para aplicar los cambios:
    SHUTDOWN IMMEDIATE;
    STARTUP;

    2. Configuración de rsyslog en el Servidor

    Una vez que Oracle envía los eventos al sistema, debemos dar la instrucción a rsyslog para que los reenvíe a la dirección IP de nuestro SIEM.

    • Cree o edite un archivo de configuración (ejemplo. /etc/rsyslog.d/oracle_audit.conf):
    sudo vi /etc/rsyslog.d/oracle_audit.conf
    • Añada la regla de reenvío. Se recomienda usar local0.* para capturar cualquier nivel de severidad dentro de esa categoría:
    # Enviar logs de Oracle al SIEM por UDP (puerto 514, ejemplo)
    local0.* @<IP_DE_TU_SIEM>:514

    (Nota: Use @@ si su SIEM requiere protocolo TCP).

    • Reinicie el servicio para activar la regla:
    sudo systemctl restart rsyslog

    3. Verificación en el SIEM

    Finalmente, asegúrese de que su SIEM tenga habilitado un listener (escucha) en el puerto 514. Al realizar un intento de conexión a Oracle, el evento debería aparecer en su consola de gestión de logs en cuestión de segundos.

    Integrar Oracle con rsyslog es una de las formas más robustas y ligeras de centralizar la telemetría de seguridad. Al mover los registros fuera del servidor de base de datos, no solo facilitamos el análisis mediante correlación de eventos, sino que también protegemos la integridad de los logs ante posibles manipulaciones locales. Una configuración simple que eleva significativamente la postura de seguridad de su infraestructura.

    Dejar un comentario