MySQL审计
审计一直是MySQL的弱项,并且目前的MySQL社区版本也不提供此功能,需要自行通过插件的形式启用。
比较常用的是MariaDB插件。
实际上我更偏向于直接使用MariaDB,和MySQL大部分都是兼容的,包括命令行和语法。
讲一下如何给MySQL添加审计插件吧。
首先下载MariaDB,最好和MySQL版本对应。在MariaDB的插件目录(/lib/plugin
)中找到server_audit.so
,拷贝到MySQL的插件目录。
如果你不知道MySQL的插件目录,可以这样查看一下。
show variables like 'plugin_dir';
不要忘记修改文件的权限。
chmod 644 server_audit.so
chown mysql:mysql server_audit.so
安装插件。
INSTALL PLUGIN server_audit SONAME 'server_audit.so';
开启插件。
set global server_audit_logging = ON;
最后可以随意执行一条语句,查看审计日志内容。默认位置为MySQL数据目录下的server_audit.log。
可以查看所有和审计相关的配置:
show variables like '%audit%';
参数的一些解释:
server_audit_output_type:指定日志输出类型,可为SYSLOG或FILE
server_audit_logging:启动或关闭审计
server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记录
server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中
server_audit_file_rotate_size:限制日志文件的大小
server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotate_now:强制日志文件轮转
server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比
server_audit_excl_users优先级高
server_audit_syslog_facility:默认为LOG_USER,指定facility
server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分
server_audit_syslog_info:指定的info字符串将添加到syslog记录
server_audit_syslog_priority:定义记录日志的syslogd priority
server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响
server_audit_mode:标识版本,用于开发测试
https://mariadb.com/kb/en/mariadb/server_audit-system-variables
上面的方式在重启后会失效,可以用于线上环境无法重启时使用,同时也要配置自动加载,下一次启动后无需再次设置。
在MySQL配置文件中mysqld配置项中添加:
#防止server_audit 插件被卸载 进行配置文件配置
server_audit=FORCE_PLUS_PERMANENT
#指定哪些操作被记录到日志文件中
server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL'
#开启审计功能
server_audit_logging=on
#默认存放路径,可以不写,默认到data文件下
server_audit_file_path =D:\MySQL\mysql5.7.27\data\auditlogs
#设置文件大小 默认1000000
server_audit_file_rotate_size=20000000
#指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotations=200
#强制日志文件轮转
server_audit_file_rotate_now=ON