Saltar al contenido principal

El registro de auditoría no muestra eventos

El registro de auditoría de VaultPAM registra la actividad relevante para la seguridad en sesiones, credenciales y acciones administrativas. Si el registro parece vacío o carece de eventos esperados, la causa casi siempre es un problema de filtro o permiso en la interfaz de usuario — no una laguna en la captura de eventos. Trabaje con las causas que se indican a continuación antes de escalar.

Síntomas

  • La página Audit no muestra eventos o muestra un mensaje "No results found" (Sin resultados).
  • Solo algunos eventos son visibles pero faltan eventos esperados de sesión o administración.
  • El registro muestra eventos de algunos períodos de tiempo pero no de otros.
  • Una canalización SIEM o exportación de registros muestra menos eventos de lo esperado.

Causas

1. Filtro de rango de tiempo incorrecto

La vista del registro de auditoría tiene por defecto una ventana de tiempo específica (como las últimas 24 horas). Si los eventos que busca ocurrieron fuera de la ventana de filtro actual, no aparecerán.

Verificación: Abra Audit → Events y observe el filtro Time range. Confirme que abarca el período de tiempo en el que deberían haber ocurrido los eventos.

Solución: Expanda el filtro de rango de tiempo para cubrir el período de interés. Use Custom range si las ventanas preestablecidas no llegan lo suficientemente atrás.

2. El usuario carece del permiso de visualización del registro de auditoría

El acceso al registro de auditoría es un permiso separado del acceso general de administrador. Un usuario con rol de administrador puede carecer del permiso View audit log si no se le ha otorgado explícitamente.

Verificación: Abra Profile → My Access y confirme que su rol incluye View audit log. Si no puede ver el menú Audit en absoluto, no tiene este permiso.

Solución: Pida a un administrador de VaultPAM que otorgue a su rol el permiso View audit log a través de Organization → Access → Roles → Edit role. El cambio de permiso tiene efecto inmediatamente.

3. Eventos filtrados por tipo

El registro de auditoría incluye un filtro para la categoría de evento (por ejemplo, Session, Credential, Admin, Authentication). Si una o más categorías están deseleccionadas, sus eventos no aparecerán en la vista actual.

Verificación: Abra Audit → Events y observe el filtro Event type. Confirme que todas las categorías relevantes estén seleccionadas (o que el filtro esté configurado en All).

Solución: Seleccione All en el filtro de tipo de evento o habilite manualmente las categorías que necesite. El filtro no afecta lo que se registra — solo lo que se muestra en la vista actual.

4. Retraso en el reenvío de SIEM

Si su organización reenvía eventos de auditoría a un SIEM (como Splunk, Elastic o un recopilador de syslog), existe un retraso de propagación inherente entre el momento en que se registra un evento en VaultPAM y el momento en que aparece en el SIEM. Durante períodos de alto volumen de eventos o interrupción de conectividad, este retraso puede extenderse de segundos a varios minutos.

Verificación: Compare el evento visible en el registro de auditoría de la interfaz de usuario de VaultPAM con lo que su SIEM muestra para la misma ventana de tiempo. Si la interfaz de usuario de VaultPAM muestra el evento pero el SIEM no, el retraso está en la canalización de reenvío, no en el propio registro de auditoría de VaultPAM.

Solución: Espere a que pase el retraso de reenvío y actualice la consulta de SIEM. Si el retraso excede su SLA esperado, pida a un operador que verifique el estado del conector de SIEM en la configuración de integración de VaultPAM y revise la conectividad entre VaultPAM y el extremo de SIEM.

Pasos de resolución

  1. Abra Audit → Events y confirme que el filtro Time range abarca el período en el que espera encontrar eventos. Expándalo a Custom range si es necesario.
  2. Confirme que el filtro Event type incluye la categoría de evento que está buscando. Seleccione All para eliminar el filtrado por tipo.
  3. Verifique que su rol incluya el permiso View audit log a través de Profile → My Access. Si no es así, contacte a un administrador de VaultPAM.
  4. Si los eventos son visibles en la interfaz de usuario de VaultPAM pero están ausentes en su SIEM, espere al retraso de reenvío y actualice. Si el retraso es persistente, pida a un operador que verifique el estado de la integración de SIEM.
  5. Después de ajustar los filtros, actualice la página del registro de auditoría y verifique nuevamente.

Ruta de escalación

Si el registro de auditoría aún no muestra eventos después de verificar filtros y permisos:

  1. Anote el rango de tiempo exacto, los tipos de eventos y el usuario o recurso involucrado.
  2. Confirme si los eventos aparecen en absoluto en el registro de la interfaz de usuario de VaultPAM (antes del reenvío de SIEM). Este es el registro definitivo.
  3. Abra un ticket de soporte con: el rango de tiempo que buscó, los tipos de eventos y filtros aplicados, su nivel de rol y permiso, y si el registro de la interfaz de usuario de VaultPAM también muestra sin eventos.

Artículos relacionados