Sobre auditoria e logs

  • 1 minuto(s) lido(s)
Prev Next

Este documento apresenta o sistema de auditoria e logs do Segura, que registra todas as operações críticas no cluster, garantindo rastreabilidade e conformidade com requisitos regulatórios e de segurança. São descritos os eventos auditáveis, acesso e exportação de logs, integração com sistemas SIEM/SOAR e exemplos práticos.

O que é auditável no cluster

O Segura registra detalhadamente os seguintes eventos:

  • Adição e remoção de nodes, incluindo usuário responsável, data/hora, justificativa e status.
  • Eventos de auto-healing e failover, como detecção de falhas, tentativas de remediação, isolamento e recuperação de nodes.
  • Ajustes de elastic scaling, como provisionamento ou desligamento automático/manual de nodes.
  • Sessões de usuários privilegiados: início, término, comandos executados, transferência de arquivos e elevações de privilégio.
  • Alterações de configuração em políticas, thresholds, parâmetros do cluster e integrações.

Como acessar e exportar logs

  • Painel de auditoria: O console administrativo oferece dashboards para busca, filtragem e exportação dos principais eventos e logs.
  • Exportação manual ou automatizada: Logs podem ser exportados em formatos abertos (CSV, JSON) ou enviados automaticamente para destinos externos via syslog, webhook ou integrações nativas.
  • Granularidade e retenção: É possível configurar níveis de detalhamento (sucessos, falhas, alterações críticas, tentativas de acesso) e políticas de retenção conforme exigências regulatórias.

Integração com SIEM/SOAR

  • SIEM: Integração nativa com soluções como Splunk, QRadar, ArcSight e Elastic, permitindo envio em tempo real para correlação, alertas e resposta a incidentes.
  • SOAR: Suporte para exportação automatizada de alertas e eventos, facilitando automação de respostas, workflows de investigação e orquestração de ações corretivas.
  • Configuração: Integração via syslog, APIs RESTful ou webhooks, com documentação detalhada para cada cenário.

Exemplos de logs e eventos

  • Node removido do cluster por admin usuarioX, com data/hora e motivo (ex.: manutenção programada).
  • Provisionamento automático de node via auto-scaling acionado por threshold de sessões simultâneas.
  • Falha de comunicação em node Y, auto-healing iniciado, status pós-recuperação “Healthy”.
  • Alteração da política de elastic scaling aprovada por admin usuarioY, com todos os detalhes registrados.
  • Exportação automática de logs para SIEM/SOAR realizada com sucesso.