Re: Consulta con logs para auditar

El 05/05/2010 19:41, Marcelo Opazo Vivallos escribió:
> Estimados Maestros,
>
> Me pasaron una DB PG bastante hiper añeja, que mejor ni menciono la
> versión y con un monton de usuarios y cosas adentro. El tema es que
> habia creado un usuario para realizar las replicas y backup y alguien
> borro este usuario. Tengo el día y hora que lo realizó, ya que en esa
> fecha dejo de funcionar mi script.
>
> Consulta:
> ¿Como podría averiguar sin instalar ningún programa anexo el usuario
> que entro y borró el usuario? Le he dado un ojo a varios parametros de
> conf del log y examinados los existentes pero no hay ninguno que me
> proporcione esta info.
>
> pd: Sé que eso no se debería tener acceso nadie, pero es como estaba
> el sistema y junto con una ensalada de archivos. Les he propuesto
> pasarlos a un servidor mas actualizado, por el momento necesito saber
> que usuario fue el que borro esto.
>
>
> Desde ya, muchas gracias!
> Marcelo
> -
> Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
> Para cambiar tu suscripción:
> http://www.postgresql.org/mailpref/pgsql-es-ayuda
>
El problema consiste en que si el usuario es superusuario, puede
realizar los cambios que quiera.
Álvaro me recomendó una vez que siempre usara
table_log(http://pgfoundry.org/projects/tablelog/), para llevar un
registro de qué está pasando
que usuario está haciendo cambios en una determinada tabla.

Creo que en tu caso no tiene sentido, pero bueno para que lo sepas para
proyectos furutos.

Hay una presentación acerca del análisis forense en una base de datos
impartida por Gregory Stark, que puede ayudarte mucho.
La presentación fue en lel JUP 2009 y se llama "Forensic Analysis of
Corrupted PostgreSQL Databases"

Saludos