{"id":4841,"date":"2018-03-19T08:41:48","date_gmt":"2018-03-19T15:41:48","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=4841"},"modified":"2025-06-13T17:22:38","modified_gmt":"2025-06-14T00:22:38","slug":"auditing-couchbase-n1ql-statements","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/auditing-couchbase-n1ql-statements\/","title":{"rendered":"Auditoria de declara\u00e7\u00f5es N1QL do Couchbase"},"content":{"rendered":"

Servidor Couchbase 5.5<\/a> inclui a capacidade de manter um registro de todas as a\u00e7\u00f5es N1QL realizadas pelos usu\u00e1rios. Isso faz parte do recurso mais geral do Couchbase, o auditoria<\/a> introduzida na vers\u00e3o 5.0. A auditoria s\u00f3 est\u00e1 dispon\u00edvel na edi\u00e7\u00e3o Enterprise.<\/p>\n

A auditoria permite que os administradores do sistema rastreiem quem est\u00e1 acessando quais dados no sistema. Isso \u00e9 importante quando os dados armazenados s\u00e3o sens\u00edveis de alguma forma, como informa\u00e7\u00f5es sobre usu\u00e1rios. O Couchbase Server 5.5 oferece suporte \u00e0 auditoria de instru\u00e7\u00f5es N1QL e permite que o administrador especifique quais tipos de instru\u00e7\u00f5es (SELECTs? INSERTs?) devem ser realmente auditadas.<\/p>\n

\u00c9 importante entender o que o Couchbase Server 5.5 n\u00e3o faz. Em particular, ele n\u00e3o permite a auditoria em n\u00edvel de registro. Se uma instru\u00e7\u00e3o UPDATE for executada e modificar cinco registros, o registro de auditoria incluir\u00e1 toda a instru\u00e7\u00e3o executada, inclusive todos os par\u00e2metros passados, e dir\u00e1 que cinco registros foram atualizados. Ele n\u00e3o dir\u00e1 quais registros espec\u00edficos foram atualizados ou quais eram seus valores antes ou depois da opera\u00e7\u00e3o. Fundamentalmente, a auditoria N1QL audita instru\u00e7\u00f5es, n\u00e3o registros.<\/p>\n

Para configurar a auditoria, fa\u00e7a login no console de administra\u00e7\u00e3o do Couchbase. Navegue at\u00e9 a guia Security (Seguran\u00e7a) (na lateral) e at\u00e9 a guia Audit (Auditoria) (na parte superior da tela). Agora voc\u00ea deve ver uma tela como esta:
\n\"\"<\/p>\n

Essa guia permite que voc\u00ea configure a auditoria em geral. A caixa de sele\u00e7\u00e3o na parte superior indica se a auditoria deve ser feita. \"Target Log Directory\" mostra onde colocar os registros do log de auditoria. Os registros aparecem em um arquivo chamado \"audit.log\" no diret\u00f3rio de log de destino. O pr\u00f3ximo conjunto de caixas de texto controla a rota\u00e7\u00e3o do log por tamanho e intervalo de tempo.<\/p>\n

Em seguida, h\u00e1 tr\u00eas menus suspensos para v\u00e1rios tipos de eventos, o que lhe d\u00e1 um controle preciso sobre os tipos de atividades que devem ser registradas. De modo geral, audite apenas o que for necess\u00e1rio. O custo real da taxa de transfer\u00eancia da auditoria depende de quanto \u00e9 auditado e do tipo de declara\u00e7\u00f5es que est\u00e3o sendo auditadas. Dez por cento de perda de rendimento devido \u00e0 auditoria \u00e9 uma estimativa razo\u00e1vel, mas voc\u00ea deve testar o efeito real antes de implantar um novo sistema.<\/p>\n

Por fim, voc\u00ea pode colocar usu\u00e1rios na lista de permiss\u00f5es na caixa \"Ignorar eventos desses usu\u00e1rios\". Esses usu\u00e1rios s\u00e3o confi\u00e1veis a ponto de suas a\u00e7\u00f5es n\u00e3o precisarem ser registradas. Por exemplo, voc\u00ea pode ter um script automatizado que insere novos dados. Voc\u00ea confia totalmente nesse script. Criar um usu\u00e1rio na lista de permiss\u00f5es e fazer com que o script use as credenciais desse usu\u00e1rio pode ser \u00fatil para evitar a gera\u00e7\u00e3o de muitos registros de auditoria.<\/p>\n

Alterne o menu suspenso \"N1QL Events\" (Eventos N1QL) para ver os tipos de eventos dispon\u00edveis para o N1QL.
\n\"\"<\/p>\n

H\u00e1 dois tipos gerais. O primeiro s\u00e3o os eventos correspondentes aos tipos de instru\u00e7\u00f5es N1QL. Por exemplo, voc\u00ea pode optar por auditar todos os eventos INSERT ou todos os eventos DELETE. Por exemplo, pode ser razo\u00e1vel auditar todos os eventos que modificam dados (INSERT\/DELETE\/UPDATE\/UPSERT), mas ignorar as instru\u00e7\u00f5es que apenas recuperam dados (SELECT).<\/p>\n

O segundo s\u00e3o os eventos correspondentes \u00e0s APIs expostas pelo mecanismo de consulta. O mecanismo de consulta N1QL disponibiliza v\u00e1rias APIs, geralmente para monitorar o sistema. Cada um desses endpoints de API \u00e9 um tipo de evento separado. Por exemplo, h\u00e1 um para o ponto de extremidade \/admin\/stats e outro para o ponto de extremidade \/admin\/ping. Voc\u00ea tem controle separado para auditar ou n\u00e3o os acessos a essas APIs.<\/p>\n

Consulta simples<\/h4>\n

Come\u00e7aremos com a auditoria de um simples comando SELECT.<\/p>\n

V\u00e1 para a p\u00e1gina \"Buckets\" do console de administra\u00e7\u00e3o e crie um bucket chamado \"test\" (sem aspas). A cota de mem\u00f3ria de 100 MB \u00e9 suficiente para nossos prop\u00f3sitos. Em seguida, v\u00e1 para Query (Consulta) e crie um \u00edndice prim\u00e1rio no novo bucket, para que possamos executar consultas N1QL nele.<\/p>\n

criar \u00edndice prim\u00e1rio em teste<\/code><\/p>\n

Em seguida, volte para a tela de configura\u00e7\u00e3o de auditoria e selecione \"Audit events & write them to a log\" na parte superior e a op\u00e7\u00e3o \"SELECT statement\" em \"N1QL Events\". Em seguida, pressione \"Save\" (Salvar) na parte inferior da tela.<\/p>\n

Em seguida, execute uma consulta como esta.<\/p>\n

curl https:\/\/localhost:8093\/query\/service -d \"statement=select * from test\" -u Administrator:password<\/code><\/p>\n

E vamos dar uma olhada no registro de auditoria. O campo \"Target Log Directory\" da tela de configura\u00e7\u00e3o de auditoria cont\u00e9m o diret\u00f3rio em que o log de auditoria est\u00e1 armazenado. Usaremos o comando \"tail\" para mostrar os \u00faltimos registros do log de auditoria nesse diret\u00f3rio. Nos sistemas Mac, esse comando funciona:<\/p>\n

tail ~\/Library\/Application\\ Support\/Couchbase\/var\/lib\/couchbase\/logs\/audit.log<\/code><\/p>\n

Voc\u00ea dever\u00e1 ver v\u00e1rias linhas longas de texto JSON. Cada linha \u00e9 um registro de auditoria. A \u00faltima \u00e9 o registro da declara\u00e7\u00e3o que enviamos. Reformatada, ela tem a seguinte apar\u00eancia:<\/p>\n

{\r\n  \"timestamp\": \"2018-03-14T05:53:34.976-07:00\",\r\n  \"real_userid\": {\r\n    \"source\" (fonte): \"local\",\r\n    \"user\": \"Administrator\" (Administrador)\r\n  },\r\n  \"requestId\": \"d0554df3-fd99-40f5-b911-b3e4f0faf050\",\r\n  \"statement\": \"select * from test\",\r\n  \"isAdHoc\": true,\r\n  \"userAgent\": \"curl\\\/7.43.0\",\r\n  \"node\" (n\u00f3): \"127.0.0.1:8091\",\r\n  \"status\": \"success\" (sucesso),\r\n  \"metrics\" (m\u00e9tricas): {\r\n    \"elapsedTime\" (tempo decorrido): \"822.147\\u00b5s\",\r\n    \"executionTime\": \"785.755\\u00b5s\",\r\n    \"resultCount\": 0,\r\n    \"resultSize\": 0\r\n  },\r\n  \"id\": 28672,\r\n  \"name\": \"Declara\u00e7\u00e3o SELECT\",\r\n  \"description\": \"A N1QL SELECT statement was executed\" (Uma instru\u00e7\u00e3o N1QL SELECT foi executada)\r\n}\r\n<\/pre>\n
Vamos examin\u00e1-los campo a campo:<\/p>\n