MySQL审计

审计一直是MySQL的弱项，并且目前的MySQL社区版本也不提供此功能，需要自行通过插件的形式启用。

比较常用的是MariaDB插件。

实际上我更偏向于直接使用MariaDB，和MySQL大部分都是兼容的，包括命令行和语法。

讲一下如何给MySQL添加审计插件吧。

首先下载MariaDB，最好和MySQL版本对应。在MariaDB的插件目录（/lib/plugin）中找到server_audit.so，拷贝到MySQL的插件目录。

如果你不知道MySQL的插件目录，可以这样查看一下。

show variables like 'plugin_dir';

不要忘记修改文件的权限。

chmod 644 server_audit.so
chown mysql:mysql server_audit.so

安装插件。

INSTALL PLUGIN server_audit SONAME 'server_audit.so';

开启插件。

set global server_audit_logging = ON;

最后可以随意执行一条语句，查看审计日志内容。默认位置为MySQL数据目录下的server_audit.log。

可以查看所有和审计相关的配置：

show variables like '%audit%';

参数的一些解释：

server_audit_output_type：指定日志输出类型，可为SYSLOG或FILE

server_audit_logging：启动或关闭审计

server_audit_events：指定记录事件的类型，可以用逗号分隔的多个值(connect,query,table)，如果开启了查询缓存(query cache)，查询直接从查询缓存返回数据，将没有table记录

server_audit_file_path：如server_audit_output_type为FILE，使用该变量设置存储日志的文件，可以指定目录，默认存放在数据目录的server_audit.log文件中

server_audit_file_rotate_size：限制日志文件的大小

server_audit_file_rotations：指定日志文件的数量，如果为0日志将从不轮转

server_audit_file_rotate_now：强制日志文件轮转

server_audit_incl_users：指定哪些用户的活动将记录，connect将不受此变量影响，该变量比

server_audit_excl_users优先级高

server_audit_syslog_facility：默认为LOG_USER，指定facility

server_audit_syslog_ident：设置ident，作为每个syslog记录的一部分

server_audit_syslog_info：指定的info字符串将添加到syslog记录

server_audit_syslog_priority：定义记录日志的syslogd priority

server_audit_excl_users：该列表的用户行为将不记录，connect将不受该设置影响

server_audit_mode：标识版本，用于开发测试

https://mariadb.com/kb/en/mariadb/server_audit-system-variables

上面的方式在重启后会失效，可以用于线上环境无法重启时使用，同时也要配置自动加载，下一次启动后无需再次设置。

在MySQL配置文件中mysqld配置项中添加：

#防止server_audit 插件被卸载 进行配置文件配置
server_audit=FORCE_PLUS_PERMANENT
#指定哪些操作被记录到日志文件中
server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL'
#开启审计功能
server_audit_logging=on
#默认存放路径，可以不写，默认到data文件下
server_audit_file_path =D:\MySQL\mysql5.7.27\data\auditlogs
#设置文件大小 默认1000000
server_audit_file_rotate_size=20000000
#指定日志文件的数量，如果为0日志将从不轮转
server_audit_file_rotations=200
#强制日志文件轮转
server_audit_file_rotate_now=ON