简介:

数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库受到的风险行为进行告警,对攻击行为进行阻断,它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

MySQL社区版并没有提供审计功能,注意到mariadb提供了一款server_audit审计插件,经测试此插件在MySQL社区版同样适用,主要用于记录用户操作。本文将介绍如何通过server_audit插件实现MySQL的审计功能。 关于如何下载此插件,你可以到mariadb官网下载或者通过如下链接下载

https://linux.linuxidc.com/index.php?folder=MjAxNsTq18rBzy8xMdTCLzEwyNUvTWFyaWFEQiAxMMnzvMbI1da+yKWz/bzHwrxzZWxlY3Sy2df3

1.安装:

1
2
3
4
5
6
7
8

通过show variables like 'plugin_dir';查看你的插件目录,
我的是:/usr/lib64/mysql/plugin/    
把下载好的插件server_audit.so
复制到/usr/lib64/mysql/plugin/ 
注意chmod+x server_audit.so
登录mysql执行插件安装命令:
INSTALL PLUGIN server_audit SONAME 'server_audit.so';
插件安装成功后有这些全局变量:show variables like '%audit%';

2.配置:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

进入mysql 执行:更改全局变量
set global server_audit_excl_users='root';
set global server_audit_events='QUERY_DDL,QUERY_DML';
set global server_audit_file_path ='/mysqllog/';
set global server_audit_file_rotate_size=1073741824;
set global server_audit_file_rotations=10;
set global server_audit_file_rotate_now=ON;
set global server_audit_logging=on;

在my.cnf 增加
#audit
server_audit_events='QUERY_DDL,QUERY_DML'
server_audit_logging=on
server_audit_file_path =/mysqllog/
server_audit_file_rotate_size=1G
server_audit_file_rotations=10
server_audit_file_rotate_now=ON
server_audit_excl_users=root

3.建议关闭general log

1
2
3
4

set global general_log=off;
在my.cnf注释
general_log_file = /mysqllog/mysql.log
general_log = 1

4.参数说明:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

详细请参考:https://mariadb.com/kb/en/mariadb/server_audit-system-variables/
server_audit_output_type:指定日志输出类型,可为SYSLOG或FILE
server_audit_logging:启动或关闭审计
server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记录
server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中
server_audit_file_rotate_size:限制日志文件的大小
server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotate_now:强制日志文件轮转
server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比server_audit_excl_users优先级高
server_audit_syslog_facility:默认为LOG_USER,指定facility
server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分
server_audit_syslog_info:指定的info字符串将添加到syslog记录
server_audit_syslog_priority:定义记录日志的syslogd priority
server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响
server_audit_mode:标识版本,用于开发测试

5.卸载

1
2
3

mysql> UNINSTALL PLUGIN server_audit;
mysql> show variables like '%audit%';
Empty set (0.00 sec)

防止server_audit 插件被卸载,需要在配置文件中添加:

[mysqld] server_audit=FORCE_PLUS_PERMANENT 重启MySQL生效

WX.png