MySQL审计之init-connect + binlog

最新推荐文章于 2021-03-31 15:47:13 发布
最新推荐文章于 2021-03-31 15:47:13 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: MySQL MySQL技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_Cow/article/details/51220839
版权

init-connect是配置文件的一个参数,作用是在每个客户端连接时执行,我们需要有一个表来保存连接客户端的ID,IP和登录时间,ID是连接的session的ID号,是递增的。那么,当我们在binlog查出操作的SQL,并找到该记录的thread_id,然后将thread_id带入我们新建的表,根据ID来查出修改者的IP和时间。

1、创建用于存放连接信息的表

mysql> create database AuditDB default charset utf8;
mysql> use AuditDB;
mysql> create table accesslog (
  ID int primary key auto_increment,
  ConnectionID int, 
  ConnUser varchar(30), 
  MatchUser varchar(30), 
  LoginTime datetime
);

2、保证所有链接用户对此表有写入权限

mysql> insert into mysql.db (Host,Db,User,Insert_priv) values ('%','AuditDB','','Y');
Query OK, 1 row affected (0.03 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

3、设置init-connect

在[mysqld]下添加以下设置:
#设置初始化连接操作
init-connect='Insert into AuditDB.accesslog(ConnectionID, ConnUser, MatchUser, LoginTime) values(connection_id(),user(),current_user(),now());'
#开启binlog
log-bin=xxx

4、重启数据库生效

shell> /etc/init.d/mysql restart

连接测试查询
mysql> select * from AuditDB.accesslog;
+----+--------------+--------------------+-----------------+---------------------+
| ID | ConnectionID | ConnUser           | MatchUser       | LoginTime           |
+----+--------------+--------------------+-----------------+---------------------+
|  1 |            1 | svoid@localhost    | svoid@localhost | 2015-04-24 14:16:18 |
|  2 |            3 | svoid@192.168.56.1 | svoid@%         | 2015-04-24 14:16:53 |
+----+--------------+--------------------+-----------------+---------------------+
2 rows in set (0.00 sec)


查找操作记录

1、 进行模拟操作,下列操作可由多个连接进行

mysql> use test;
Database changed

mysql> create table t (id int ,name varchar(20));
Query OK, 0 rows affected (0.06 sec)

mysql> insert into t values(1,'a');
Query OK, 1 row affected (0.16 sec)

mysql> insert into t values(2,'b');
Query OK, 1 row affected (0.03 sec)

mysql> truncate table t ;
Query OK, 0 rows affected (0.03 sec)

2、根据binlog,确认操作truncate的thread_id

mysqlbinlog --start-datetime='2015-04-24 14:10:00' --stop-datetime='2015-04-24 14:25:00' /db/mysql/data/mysql_info.000007 | grep -B 5 truncate
# at 1223
#150424 14:23:36 server id 1  end_log_pos 1302     Query    thread_id=3    exec_time=0    error_code=0
SET TIMESTAMP=1429856616/*!*/;
/*!\C gbk *//*!*/;
SET @@session.character_set_client=28,@@session.collation_connection=28,@@session.collation_server=33/*!*/;
truncate table t

根据上面的提示可以看到操作的thread_id=3

3、确认操作的用户

mysql> select * from AuditDB.accesslog where ConnectionID=3;
+----+--------------+--------------------+-----------+---------------------+
| ID | ConnectionID | ConnUser           | MatchUser | LoginTime           |
+----+--------------+--------------------+-----------+---------------------+
|  2 |            3 | svoid@192.168.56.1 | svoid@%   | 2015-04-24 14:16:53 |
+----+--------------+--------------------+-----------+---------------------+
1 row in set (0.00 sec)


注意:

  1. init-connect 是不会在super用户登录时执行, 所以不要使用超级用户,不然你看不到任何信息。
  2. 理论上,用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响,考虑降低连接频率及accesslog插入效率优化。
  3. 对于所有的普通级别的用户,必须全部都要对日志表具有读写权限, 否则将导致,没有权限的用户无法使用数据库。
  4. 建议把记录表的引擎设置为archive,能极大的缩小空间。


南山行者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql利用init-connect增加访问审计功能的实现
12-15
mysql的连接首先都是要通过init-connect初始化,然后连接到实例。 我们利用这一点,通过在init-connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。 实现步骤 1、创建审计用的库表。 为了不与业务的库冲突,单独创建自己的库: #建库表代码 create database db_monitor ; use db_monitor ; CREATE TABLE accesslog ( thread_id int(11) DEFAULT NULL, #进程id log_time datetime default null, #登录时间
MySQL Binlog Digger 4.18 Setup.exe
11-24
MySQL Binlog Digger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog中快速定位到误操作的重做语句(redo sql),同时推理出回滚语句(undo sql)。此外,它还可以结合[mysqld]的init-connect参数做mysql 8.0的数据库审计
mysql init-connect,MySQLinit_connect审计应用
weixin_42099815的博客
03-17 708
一、演示环境说明:2台内网dellR620 物理服务器测试。系统都是 centos7.6 x86_64最小化安裝关闭selinux 关闭iptables,二进制解压安装mysql5.7.30。而且要开启binglog 且为row格式。2台机器内网地址已经演示环境角色如下:192.168.1.217 创建mysql审计表,来审计此机器上的mysql服务用户登录信息192.168.1.215 在此机器...
MySQL Binlog Digger 4.20 Setup.exe
05-07
MySQL Binlog Digger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog中快速定位到误操作的重做语句(redo sql),同时推理出回滚语句(undo sql)。此外,它还可以结合[mysqld]的init-connect参数做mysql 8.0的数据库审计
MYSQL 5.1安装过程详解
11-30
MYSQL 5.1安装过程详解(图文并茂,相信很多朋友一学就会)
万里之行头一步——MySQL连接参数init_connect的简单使用
玉米猫的专栏
03-31 5121
作为Mysql的一个连接参数,init_connect本身并不十分抢眼,官方手册中对其介绍只有几行,只简单指出了init_connect的一些基本规则: 只有在普通用户的客户端连接时才能执行这个参数,超级用户或有连接管理权限的用户会跳过这个设置; 一个init_connect可以带一个或多个sql语句; init_connect的sql语句中若包含错误,则会导致连接失败。 用于审计 从具体的使用角度讲,在网上能查到的init_connect使用率最高的,就是结合mysql自身的日志进行的审计功.
mysql init_connect
将珍珠串成项链
09-26 1423
http://www.cnblogs.com/cnsanshao/p/3253025.html init_connect 服务器为每个连接的客户端执行的字符串。字符串由一个或多个SQL语句组成。要想指定多个语句,用分号间隔开。例如,每个客户端开始时默认启用autocommit模式。没有全局服务器变量可以规定autocommit默认情况下应禁用,但可以用init_connect来获得相同的效果:
init-connect+binlog实现MySQL审计功能
eagle89的专栏
09-23 1110
背景介绍: 假设有这么一个情况,你作为某公司的MySQL-DBA,某日公司的数据库一些数据被认为删除了。尽管有数据备份,但是因停止服务而造成了损失。公司希望查出始作俑者是谁。拥有数据库操作权限的人很多,如何排查呢 ? MySQL本身并没有审计的功能,binlog中虽然可以记录执行sql语句的thread id,通过thread id再结合show processlist可以查找到源头IP,但...
init-connect mysql_关于mysql init_connect的几个要点总结
weixin_29854481的博客
03-06 683
关于mysql init_connect的几个要点总结init_connect的作用init_connect通常用于:当一个连接进来时,做一些操作,比如设置autocommit为0,比如记录当前连接的ip来源和用户等信息到一个新表里,当做登陆日志信息使用init_connect的注意点1 只有超级账户才可以设置(super_priv权限)2 超级账户无视init_connect设置(即init_c...
MySQL参数--init_connect
Qiuht的技术博客
03-21 3200
init_connect
MySQL Binlog Digger 4.28 + Mysql Binlog分析 + 数据库
08-19
MySQL Binlog Digger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog中快速定位到误操作的重做语句(redo sql),同时推理出回滚语句(undo sql)。此外,它还可以结合[mysqld]的init-connect参数做mysql 8.0的数据库审计。 ​一. 对dml的挖掘分析(同时支持离线binlog) 二 . 对ddl的挖掘分析(同时支持离线binlog) 三. 对dml进行审计 四. 对ddl的审计
MyCat部署运行(Windows环境)与使用步骤详解
热门推荐
南山行者
07-20 3万+
1、MyCat概念 1.1 总体架构 MyCAT的架构如下图所示: MyCAT使用MySQL的通讯协议模拟成一个MySQL服务器,并建立了完整的Schema(数据库)、Table (数据表)、User(用户)的逻辑模型,并将这套逻辑模型映射到后端的存储节点DataNode(MySQL Instance)上的真实物理库中,这样一来,所有能使用MySQL的客户端以及编程语言都能
MySQL5.6之后默认root密码的问题
南山行者
08-23 2万+
前端时间安装mysql5.6后,习惯性的无密码登录,但是提示要输入密码 # mysql -u root -p Enter password: ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO) 好吧,那我就安全模式登入,也就是常说的绕过密码验证 # /etc/init.d/m
Anemometer和pt-query-digest结合将MySQL慢查询可视化
南山行者
04-26 7550
pt-query-digest虽然功能强大, 但毕竟没有web界面显示的直观,我们可以借助Anemometer作为pt-query-digest执行结果的显示端,Anemometer是专门为mysql的慢查询开发的一款开源软件,地址在http://www.oschina.net/p/anemometer 一、安装LAMP环境 1,安装 yum install httpd php *b
MySQL5.6配置文件详解
南山行者
09-09 7014
character-set-server=utf8 #服务器端字符集 lower_case_table_names = 0 #默认为0,数据库、表名大小写敏感 back_log = 600    #在MYSQL暂时停止响应新请求之前,短时间内的多少个请求可以被存在堆栈中。如果系统在短时间内有很多连接,则需要增大该参数的值,该参数值指定到来的TCP/IP连接的监听队列的大小。默
MySQL的MHA+keepalived+负载均衡+读写分离架构
南山行者
09-01 6704
之前写过了MySQL的简单MHA环境搭建,但是mha只是保证数据库一致性,对于实现应用访问的唯一入口、读写分离、负载均衡需要keepalived、中间件、lvs来解决了。 本次搭建使用四台虚拟机,如下 db1:192.168.1.10 db2:192.168.1.11 db3:192.168.1.12 db4:192.168.1.13 一、环境搭建 1、mha
MySQL在线DLL测试
南山行者
03-09 6367
MySQL5.5和之前版本,在运行的生产环境对大表(超过数百万纪录)执行Alter操作是一件很困难的事情。因为将重建表和锁表,影响用户者的使用。 MySQL5.6提供了在线DDL,并且不锁表的功能,如果数据量不是特别大,通常可以使用alter。 目前在线DLL,有四种办法 一、alter table xxxxx; 优点:不阻塞读写,消耗时间长 二:alter table xxx
spring boot使用mysql-jdbc-java获取binlog logid
最新发布
05-24
要从MySQL中获取binlog logid,您需要执行以下步骤: 1. 在MySQL配置文件中启用binlog: 在MySQL配置文件(my.cnf或my.ini)中,确保启用了binlog。在[mysqld]部分中添加以下行: ``` log-bin = mysql-bin binlog-format = ROW ``` 2. 重新启动MySQL服务: 在您对MySQL配置文件进行更改后,需要重新启动MySQL服务以使更改生效。 3. 查询binlog logid: 使用以下命令查询binlog logid: ``` SHOW MASTER STATUS; ``` 此命令将返回包含binlog logid的结果集。 4. 在Spring Boot中使用mysql-jdbc-java获取binlog logid: 您可以使用mysql-jdbc-java驱动程序连接到MySQL,然后执行以下查询来获取binlog logid: ``` SELECT @@global.server_id AS server_id, @@global.binlog_format AS binlog_format, @@global.log_bin AS log_bin, @@global.log_bin_index AS log_bin_index, @@global.gtid_mode AS gtid_mode, @@global.gtid_current_pos AS gtid_current_pos; ``` 这将返回一个结果集,其中包含binlog logid以及其他相关信息。 请注意,要使用mysql-jdbc-java获取binlog logid,您需要拥有足够的权限来执行上述查询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值