背景
MariaDB和MySQL在广泛的环境中使用,但是如果您需要记录用户访问权限以符合组织的审计法规,则以前必须使用其他数据库解决方案。为了满足此需求,MariaDB开发了MariaDB审计插件。尽管MariaDB审核插件具有一些仅适用于MariaDB的独特功能,但它也可以与MySQL一起使用。
基本上,MariaDB Audit Plugin的目的是记录服务器的活动。对于每个客户端会话,它记录谁连接到服务器(即用户名和主机),执行了哪些查询,访问了哪些表以及更改了服务器变量。此信息存储在循环日志文件中,或者可以发送到本地syslogd。
下载server_audit.so插件
请到网站上进行下载对应的插件
安装server_audit插件
登录MySQL,执行命令获取MySQL的plugin目录
MySQL [(none)]> SHOW GLOBAL VARIABLES LIKE 'plugin_dir';
+---------------+-------------------------+
| Variable_name | Value |
+---------------+-------------------------+
| plugin_dir | /data/mysql/lib/plugin/ |
+---------------+-------------------------+
1 row in set (0.00 sec)
将server_audit.so上传到/data/mysql/lib/plugin/ 下
$ ll /data/mysql/lib/plugin/
total 52944
-rwxr-xr-x. 1 mysql mysql 94513 Jun 2 2020 adt_null.so
-rwxr-xr-x. 1 mysql mysql 365033 Jun 2 2020 authentication_ldap_sasl_client.so
-rwxr-xr-x. 1 mysql mysql 40406 Jun 2 2020 auth_socket.so
-rwxr-xr-x. 1 mysql mysql 669352 Jun 2 2020 connection_control.so
-rwxr-xr-x. 1 mysql mysql 16923116 Jun 2 2020 group_replication.so
-rwxr-xr-x. 1 mysql mysql 664899 Jun 2 2020 innodb_engine.so
-rwxr-xr-x. 1 mysql mysql 929276 Jun 2 2020 keyring_file.so
-rwxr-xr-x. 1 mysql mysql 292122 Jun 2 2020 keyring_udf.so
-rwxr-xr-x. 1 mysql mysql 989837 Jun 2 2020 libmemcached.so
-rwxr-xr-x. 1 mysql mysql 7944728 Jun 2 2020 libpluginmecab.so
-rwxr-xr-x. 1 mysql mysql 16780 Jun 2 2020 locking_service.so
-rwxr-xr-x. 1 mysql mysql 49474 Jun 2 2020 mypluglib.so
-rwxr-xr-x. 1 mysql mysql 38302 Jun 2 2020 mysql_no_login.so
-rwxr-xr-x. 1 mysql mysql 22906309 Jun 2 2020 mysqlx.so
-rwxr-xr-x. 1 mysql mysql 618167 Jun 2 2020 rewriter.so
-rwxr-xr-x. 1 mysql mysql 709470 Jun 2 2020 semisync_master.so
-rwxr-xr-x. 1 mysql mysql 152501 Jun 2 2020 semisync_slave.so
-rw-r--r--. 1 root root 207976 Dec 3 15:12 server_audit.so
-rwxr-xr-x. 1 mysql mysql 204711 Jun 2 2020 validate_password.so
-rwxr-xr-x. 1 mysql mysql 353090 Jun 2 2020 version_token.so
在命令下安装server_audit.so
MySQL [(none)]> INSTALL PLUGIN server_audit SONAME 'server_audit.so';
查看变量开启设置情况,默认貌似都是关闭的
MySQL [(none)]> show variables like '%audit%';
编辑my.cnf,添加配置并重启服务
$ vim /etc/my.cnf (添加到配置文件末尾)
#server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL,QUERY_DML,QUERY_DCL'
server_audit_logging=on
server_audit_file_path=/data/mysql/log/
server_audit_file_rotate_size=200000000
server_audit_file_rotations=200
server_audit_file_rotate_now=ON
$ /etc/init.d/mysql restart (重启服务
登录MySQL后发现,在MySQL环境下执行的任何命令都被记录到/data/mysql/log/server_audit.log,如果日志文件达到指定的大小,会自动切割
MySQL [(none)]> show variables like '%audit%';
+-------------------------------+-----------------------+
| Variable_name | Value |
+-------------------------------+-----------------------+
| server_audit_events | |
| server_audit_excl_users | |
| server_audit_file_path | /data/mysql/log/ |
| server_audit_file_rotate_now | ON |
| server_audit_file_rotate_size | 200000000 |
| server_audit_file_rotations | 200 |
| server_audit_incl_users | |
| server_audit_loc_info | |
| server_audit_logging | ON |
| server_audit_mode | 1 |
| server_audit_output_type | file |
| server_audit_query_log_limit | 1024 |
| server_audit_syslog_facility | LOG_USER |
| server_audit_syslog_ident | mysql-server_auditing |
| server_audit_syslog_info | |
| server_audit_syslog_priority | LOG_INFO |
+-------------------------------+-----------------------+
16 rows in set (0.00 sec)
$ ll /data/mysql/log/server_audi* (查看审计日志文件)
-rw-r-----. 1 mysql mysql 24420391 Dec 14 11:31 /data/mysql/log/server_audit.log
-rw-r-----. 1 mysql mysql 200000031 Dec 14 09:11 /data/mysql/log/server_audit.log.001
-rw-r-----. 1 mysql mysql 200000449 Dec 13 14:51 /data/mysql/log/server_audit.log.002
-rw-r-----. 1 mysql mysql 200000141 Dec 12 20:53 /data/mysql/log/server_audit.log.003
-rw-r-----. 1 mysql mysql 200000412 Dec 12 02:03 /data/mysql/log/server_audit.log.004
-rw-r-----. 1 mysql mysql 200000559 Dec 11 05:28 /data/mysql/log/server_audit.log.005
-rw-r-----. 1 mysql mysql 200000297 Dec 10 10:50 /data/mysql/log/server_audit.log.006
-rw-r-----. 1 mysql mysql 200000674 Dec 9 16:53 /data/mysql/log/server_audit.log.007
-rw-r-----. 1 mysql mysql 200000101 Dec 8 21:50 /data/mysql/log/server_audit.log.008
-rw-r-----. 1 mysql mysql 200000201 Dec 8 03:53 /data/mysql/log/server_audit.log.009
-rw-r-----. 1 mysql mysql 200000247 Dec 7 06:56 /data/mysql/log/server_audit.log.010
-rw-r-----. 1 mysql mysql 200000369 Dec 6 10:58 /data/mysql/log/server_audit.log.011
-rw-r-----. 1 mysql mysql 200000367 Dec 5 13:27 /data/mysql/log/server_audit.log.012
-rw-r-----. 1 mysql mysql 200000050 Dec 4 13:59 /data/mysql/log/server_audit.log.013
参数说明
详细请参考:https://mariadb.com/kb/en/mariadb/server_audit-system-variables/
- server_audit_output_type:指定日志输出类型,可为SYSLOG或FILE
- server_audit_logging:启动或关闭审计
- server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记录
- server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中
- server_audit_file_rotate_size:限制日志文件的大小
- server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转
- server_audit_file_rotate_now:强制日志文件轮转
- server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比
- server_audit_excl_users优先级高
- server_audit_syslog_facility:默认为LOG_USER,指定facility
- server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分
- server_audit_syslog_info:指定的info字符串将添加到syslog记录
- server_audit_syslog_priority:定义记录日志的syslogd priority
- server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响
- server_audit_mode:标识版本,用于开发测试
卸载server_audit
MySQL [(none)]> UNINSTALL PLUGIN server_audit;
MySQL [(none)]> show variables like '%audit%';
Empty set (0.00 sec)
防止server_audit 插件被卸载,需要在配置文件中添加:
[mysqld]
server_audit=FORCE_PLUS_PERMANENT
重启MySQL生效
值得注意的是,应该在server_audit插件被安装好,并且已经运行之后添加这些配置,否则过早在配置文件添加这个选项,会导致MySQL发生启动错误!
MySQL [(none)]> UNINSTALL PLUGIN server_audit;
ERROR 1702 (HY000): Plugin 'server_audit' is force_plus_permanent and can not be unloaded
评论区