Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Configurar recursos de segurança para clusters

Configurar auditoria de banco de dados

Nesta página

  • Acesso necessário
  • Procedimento
  • Configurar um filtro de auditoria personalizado
  • Exemplo de filtros de auditoria

Observação

  • Esta funcionalidade não está disponível para clusters gratuitos M0 e clusters M2 e M5. Para saber mais, consulte Atlas M0 (agrupamento gratuito), M2 e M5 Limites.

  • No momento, esse recurso não é compatível com instâncias sem servidor. Para saber mais, consulte Limitações de instância sem servidor.

A auditoria do banco de dados permite que os administradores acompanhem a atividade do sistema para implementações com vários usuários. Os administradores do Atlas podem selecionar as ações, utilizadores de banco de dados, roles do Atlas e grupos LDAP que desejam auditar. O Atlas suportaauditoria na maioria das ações de eventos do sistema documentadas, com as seguintes limitações:

  • Quando um Atlas user executa uma ação na UI do Atlas em um cluster, os logs de auditoria e o arquivo mongodb.log registram o usuário de banco de dados mms-automation como o usuário que executa a ação auditável. No entanto, a Lista de Atividade do Projeto registra o nome de usuário real do usuário Atlas responsável pela ação.

  • Os registros de auditoria do Atlas não acompanham eventos de criação ou modificação do usuário porque o Atlas executa essas operações diretamente no banco de dados admin .

Importante

Realizando uma auditoria completa do banco de dados

Devido a essas limitações, é necessário usar uma combinação de logs de auditoria, o mongodb.log e o feed de atividades do projeto para realizar uma auditoria completa.

A ação de evento authCheck registra tentativas de autorização por usuários que tentam ler e escrever em bancos de dados nos clusters do seu projeto. O Atlas audita os seguintes comandos específicos:

authCheck Reads
authCheck Writes
Agregação
Agregação
Redução de mapa
Redução de mapa
distinto
excluir
avaliação [1]
avaliação [1]
contar
encontrar e modificar
geoPerto
inserir
geopesquisa
update
grupo, grupo
Redefinir erro
find
Obter último erro
pegue mais
GetPreverError
parallelCollectionScan [1]
[1](1, 2, 3) As versões 4.2 do MongoDB e posteriores não permitem esses comandos.

O Atlas implementa a ação de evento authCheck como as quatro ações separadas a seguir:

Ação de Evento
Descrição
authChecksReadFailures
ação de evento authCheck para todas as leituras com falha com o parâmetro auditAuthorizationSuccess definido como falso. Essa ação de evento é padrão para ações de eventos relacionadas à leitura.
authChecksReadAll

authCheck ação de eventos para todas as leituras, tanto sucessos quanto falhas. Essa ação de evento é igual a authChecksReadFailures, mas com o parâmetro auditAuthorizationSuccess definido como verdadeiro.

Aviso

Se você ativar o AuditAuthorizationSuccess, poderá afetar gravemente o desempenho do cluster. Tenha cuidado ao habilitar essa função.

authChecksWriteFailures
authCheck ação de evento para todas as gravações com falha com o parâmetro auditAuthorizationSuccess definido como falso. Essa ação de evento é padrão para ações de eventos relacionadas à gravação.
authChecksWriteAll

authCheck ação de evento para todas as gravações, tanto sucessos quanto falhas. Essa ação de evento é igual a authChecksWriteFailures, mas com o parâmetro auditAuthorizationSuccess definido como verdadeiro.

Aviso

Se você ativar o AuditAuthorizationSuccess, poderá afetar gravemente o desempenho do cluster. Tenha cuidado ao habilitar essa função.

Para saber como o MongoDB grava eventos de auditoria em disco, consulte Garantia de auditoria no Manual do MongoDB.

Acesso necessário

Para configurar os logs de auditoria, é necessário ter Project Owner acesso ao projeto que deseja atualizar ou Organization Owner acesso à organização que contém o projeto que deseja atualizar.

Procedimento

Observação

Para saber mais sobre as práticas recomendadas para auditoria das ações de usuários temporários do banco de dados, consulte Auditar utilizadores temporários de banco de dados.

Use o seguinte procedimento para configurar a auditoria do banco de dados:

1

Inicie sessão no seu projeto Atlas.

2

Na seção Security da navegação à esquerda, clique em Advanced.

3

Alterne o botão ao lado de Database Auditing para On.

4

Confirme que você deseja auditar as falhas de autenticação.

Por padrão, o Atlas registra as tentativas de autenticação com falha de usuários conhecidos e desconhecidos no registro de auditoria do nó primary .

5

Selecione os usuários do banco de dados, roles do Atlas e grupos LDAP cujas ações você deseja auditar no Select users and roles.

Como alternativa, clique em Use Custom JSON Filter para inserir manualmente um filtro de auditoria como uma string JSON. Para mais informações sobre configurar filtros de auditoria personalizados no Atlas, consulte Configurar um filtro de auditoria personalizado.

6

Selecione as ações do evento que você deseja auditar em Select actions to audit.

Observação

Desmarcar a ação authenticate impede que o Atlas audite falhas de autenticação.

Observação

Ao selecionar a granularidade de sucesso da autorização da auditoria para a ação do evento authCheck , o Atlas não permite seleções diferentes para leituras e gravações. Por exemplo, você não pode selecionar Successes and Failures para authCheck Reads e Failures para authCheck Writes. Se você selecionar ambos authCheck Reads e authCheck Writes, o Atlas aplicará automaticamente sua granularidade selecionada para ambos.

7

Clique em Save.

Para recuperar os registros de auditoria no Atlas, consulte Registros do MongoDB. Para recuperar os registros de auditoria usando a API, consulte Registros.

Configurar um filtro de auditoria personalizado

Observação

O Atlas oferece suporte à especificação de um filtro de auditoria formatado em JSON para personalizar a auditoria do MongoDB.

Os filtros de auditoria personalizados permitem que os usuários renunciem ao criador gerenciado de filtros de auditoria Atlas UI em favor do controle granular personalizado da auditoria de eventos. O Atlas verifica apenas se o filtro personalizado utiliza uma sintaxe JSON válida, e não valida ou testa a funcionalidade do filtro.

O documento do filtro de auditoria deve ser resolvido em uma consulta que corresponda a um ou mais campos na mensagem do evento de auditoria. O documento de filtro pode usar combinações de operadores de consulta e condições de igualdade para corresponder às mensagens de auditoria desejadas.

Para exibir exemplos de filtros de auditoria, consulte Exemplos de filtros de auditoria. Para saber mais sobre como configurar filtros de auditoria MongoDB, consulte Configurar filtro de auditoria.

Importante

O Atlas usa uma estratégia de atualização de rolagem para ativar ou atualizar as configurações de auditoria em todos os clusters no projeto Atlas. As atualizações de rolagem exigem pelo menos uma eleição por conjunto de réplica.

Para saber mais sobre como testar a resiliência do aplicativo para eleições de conjuntos de réplicas, consulte Testar failover primary. Para saber mais sobre como o Atlas fornece alta disponibilidade, consulte Alta disponibilidade do Atlas.

Procedimento

1

Inicie sessão no seu projeto Atlas.

2

Na seção Security da navegação à esquerda, clique em Advanced.

3

Alterne o botão ao lado de Database Auditing para On.

4

Selecione Use Custom JSON Filter.

5

Insira o filtro de auditoria na caixa de texto.

6

Opcional: alterne Audit authorization successes.

Aviso

Habilitar o Audit authorization successes pode impactar severamente o desempenho do cluster. Tenha cuidado ao habilitar essa função.

Para filtros de auditoria que especificam o tipo de ação authCheck , por padrão, o sistema de auditoria registra somente falhas de autorização para qualquer param.command especificado. A ativação do Audit authorization successes direciona o sistema de auditoria a também registrar os sucessos da autorização. Para mais informações, consulte auditAuthorizationSuccess

7

Clique em Save.

Editar um filtro de auditoria personalizado

Você pode editar seu filtro a qualquer momento:

1

Vá para a página Advanced do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém seu projeto nas Menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. No menu à esquerda, clique em Advanced sob o título Security .

2

Edite o filtro.

  1. Em Database Auditing Configure Your Auditing Filter, clique em Use Custom JSON Filter.

  2. Faça as alterações necessárias.

  3. Clique em Save.

Veja seu filtro de auditoria personalizado

Exemplo de filtros de auditoria

Use o exemplo a seguir de filtros de auditoria para obter orientações sobre como construir seus próprios filtros.

Importante

Esses exemplos não se destinam ao uso em ambientes de produção, nem substituem a familiaridade com a documentação de auditoria do MongoDB.

Auditar todos os eventos de autenticação para usuários conhecidos

{
  "atype": "authenticate"
}

Auditar todos os eventos de autenticação para usuários conhecidos e falhas de autenticação para usuários desconhecidos

{
  "$or": [
    {
      "users": []
    },
    {
      "atype": "authenticate"
    }
  ]
}

Observação

A ação authenticate é necessária para registrar falhas de autenticação de usuários conhecidos e desconhecidos.

Eventos de autenticação de auditoria para o usuário "myClusterAdministrator"

{
  "atype": "authenticate",
  "param": {
    "user": "myClusterAdministrator",
    "db": "admin",
    "mechanism": "SCRAM-SHA-256"
  }
}

Auditar tentativas não autorizadas de execução dos comandos selecionados

{
  "atype": "authCheck",
  "param.command": {
    "$in": [
      "insert",
      "update",
      "delete"
    ]
  }
}
← Gerenciar chaves do cliente com Google Cloud KMS
Visualizar histórico de acesso ao banco de dados →

Nesta página