Audit trail.
El registro inmutable de cada decisión de evaluación de Vericto: qué se guarda, cómo verlo y filtrarlo, cuánto tiempo se conserva y cómo exportarlo como evidencia para compliance.
Resumen
El audit trail es el registro cronológico e inmutable de cada decisión que Vericto toma cuando evalúa una query. Cada vez que una query pasa por el motor de reglas, Vericto anota qué se evaluó, qué regla se aplicó y cuál fue el resultado. Nada se sobrescribe ni se borra antes de tiempo: es un log de solo escritura pensado como fuente de verdad.
Este registro está diseñado para compliance. Si tu organización necesita demostrar que existen controles de acceso a datos y que se aplican de forma consistente, el audit trail es la evidencia directa que auditores de SOC2 o ISO 27001 esperan ver.
El audit trail es inmutable. Los eventos no se editan ni se eliminan manualmente. Los registros más antiguos que la ventana de retención de tu plan dejan de devolverse, pero mientras están dentro de la ventana permanecen intactos tal como se registraron.
Qué se registra
Cada entrada del audit trail representa una decisión de evaluación y captura los siguientes campos:
- Query: la sentencia evaluada. Puede aparecer completa o con literales normalizados según el modo de telemetría, y su texto puede estar cifrado en reposo.
- Status: el resultado de la decisión, uno de
blocked,allowedowarning. - Severidad: el nivel de riesgo asociado a la regla que disparó la decisión.
- Rule code: el identificador de la regla aplicada, para rastrear exactamente qué control actuó.
- Database: la base de datos conectada sobre la que se evaluó la query.
- Latencia: el tiempo que tardó la evaluación, útil para verificar el impacto de Vericto en tu ruta de queries.
- Timestamp: el momento exacto de la decisión, base de la cronología.
La combinación de estos campos permite responder preguntas concretas: qué query se bloqueó, por qué regla, en qué base de datos y cuándo. Es justamente el tipo de trazabilidad que exige una auditoría de acceso a datos.
Cómo verlo
El audit trail se consulta en Dashboard → Audit. Ver el audit trail requiere la capacidad audit.view. La vista se organiza en dos pestañas:
Pestañas Timeline y Controls
- Timeline: la cronología de decisiones, de la más reciente a la más antigua. Cada fila es un evento con su status, regla, base de datos, latencia y timestamp.
- Controls: el mapeo de la actividad registrada a controles de compliance, pensado para preparar auditorías y responder a evaluadores.
Filtros y ventana temporal
La pestaña Timeline ofrece tres formas de acotar lo que ves:
- Por status: filtra entre
all,blocked,allowedywarning. - Búsqueda de texto: busca sobre lo visible en el navegador. Como el texto de la query puede estar cifrado o normalizado, la búsqueda opera sobre lo que se muestra, no sobre el contenido cifrado.
- Ventana temporal: presets de
24h,7d,30d,90dyAllpara enfocar el periodo que te interesa.
La ventana temporal que elijas no puede recuperar eventos anteriores a la retención de tu plan. Aunque selecciones All, el servidor solo devuelve eventos dentro de la ventana de retención vigente.
Retención por plan
Cuánto tiempo se conservan los eventos del audit trail depende de tu plan. La retención se aplica en el servidor: los eventos más antiguos que la ventana de tu plan simplemente no se devuelven en la consulta.
| Plan | Retención del audit trail |
|---|---|
| Free | 7 días |
| Builder | 30 días |
| Team | 90 días |
| Enterprise | Configurable |
Si necesitas conservar evidencia más allá de la ventana de tu plan, exporta el audit trail de forma periódica. Un export firmado sigue siendo válido incluso cuando los eventos originales salen de la ventana de retención.
Exportación
Puedes exportar el audit trail en formato CSV o JSON. La exportación requiere el plan Team o superior, a través de la capacidad audit.export.
Exportación asíncrona
La exportación es asíncrona: al solicitarla, Vericto genera el archivo en segundo plano y lo pone disponible para descarga cuando está listo. En exportaciones grandes esto evita bloquear la interfaz mientras se prepara el archivo.
Reportes firmados con Ed25519
Los reportes exportados se firman con Ed25519, por lo que son verificables offline: cualquiera puede comprobar que el archivo no fue alterado desde que Vericto lo generó, sin necesidad de contactar con nuestros servidores. El procedimiento de verificación se documenta en detalle en la guía de verificación de reportes.
Consulta Verificar reportes para el paso a paso de la verificación offline de la firma Ed25519.
Compliance: SOC2 e ISO 27001
El audit trail está pensado como fuente de evidencia para marcos de compliance. Su carácter inmutable y su trazabilidad por decisión responden directamente a los controles que evalúan auditores de SOC2 e ISO 27001.
- Control de acceso a datos: cada decisión de
blocked,allowedowarningdocumenta que las políticas de acceso se aplican de forma consistente. - Trazabilidad: el rule code y el timestamp permiten reconstruir qué control actuó y cuándo, para cualquier query registrada.
- Evidencia exportable: los exports firmados con Ed25519 sirven como evidencia entregable a auditores, verificable de forma independiente.
La pestaña Controls del dashboard ayuda a alinear la actividad registrada con los controles concretos que tu auditoría necesita cubrir.
Preguntas frecuentes
¿Se puede editar o borrar un evento del audit trail?
No. El audit trail es inmutable: los eventos no se editan ni se eliminan manualmente. Los registros dejan de devolverse cuando quedan fuera de la ventana de retención de tu plan, pero mientras están dentro permanecen tal como se registraron.
¿Por qué no veo eventos antiguos aunque seleccione la ventana All?
La retención se aplica en el servidor. Aunque elijas All, solo se devuelven eventos dentro de la ventana de tu plan: 7 días en Free, 30 en Builder, 90 en Team y configurable en Enterprise. Para conservar más historia, exporta periódicamente.
¿Quién puede ver y quién puede exportar el audit trail?
Ver el audit trail requiere la capacidad audit.view. Exportar en CSV o JSON requiere la capacidad audit.export, disponible en el plan Team o superior.
¿Por qué la búsqueda de texto no encuentra algunas queries?
La búsqueda de texto opera del lado del cliente, sobre lo que se muestra en pantalla. Si el texto de la query está cifrado o aparece con literales normalizados según el modo de telemetría, la búsqueda solo coincide con lo visible, no con el contenido cifrado.
¿Cómo verifico que un reporte exportado no fue alterado?
Cada export se firma con Ed25519 y se verifica offline con la clave pública de Vericto. El procedimiento completo está en la guía Verificar reportes.