(基础)[Mysqld]参数init-connect+binlog完成审计功能

最新推荐文章于 2024-05-23 08:00:00 发布
最新推荐文章于 2024-05-23 08:00:00 发布
阅读量226 收藏 1
点赞数
分类专栏: Mysql 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_34007305/article/details/114122117
版权

背景

MySQL日志审计(社区版无审计插件的情况下,通过库表记录用户登录信息+binlog查看用户的操作)

原因:基于插件的审计目前存在于Mysql的企业版、Percona和MariaDB上,但是mysql社区版本有提供init-connect选项,基于此我们可以用它来完成审计功能。

写在前面
原文链接https://www.cnblogs.com/zejin2008/p/5756192.html
link

init-connect

http://dev.mysql.com/doc/refman/5.7/en/server-system-variables.html#sysvar_init_connect
link

Command-Line Format–init-connect=name
System Variableinit_connect
ScopeGlobal
DynamicYes
TypeString
1 只有超级账户才可以设置(super_priv权限)
2 超级账户无视init_connect设置(即init_connect的设置对来自超级账户的连接不生效)
文档解释:
1.服务器为每个连接的客户端执行的字符串。该字符串由一个或多个SQL语句组成,以分号字符分隔。

2.对于具有SUPER 特权的用户,init_connect不会执行的内容 。这样做是为了使的错误值 init_connect不会阻止所有客户端连接。例如,该值可能包含一个语法错误的语句,从而导致客户端连接失败。init_connect对具有SUPER特权的用户不执行 将使他们能够打开连接并固定 init_connect值。

3.从MySQL 5.7.22开始, init_connect密码过期的所有客户端用户都将跳过执行。这样做是因为这样的用户无法执行任意语句,因此init_connect 执行失败,从而使客户端无法连接。跳过init_connect 执行使用户可以连接和更改密码。

4.服务器将舍弃由值的语句产生的任何结果集init_connect。

操作

每次用户登录都会记录一条登录信息

1.
set names utf8
create database auditlog;
create table auditlog.t_audit(
  id int not null auto_increment,
  thread_id int not null,
  login_time timestamp,
  localname varchar(50) default null,
  matchname varchar(50) default null, 
  primary key (id)
)ENGINE=InnoDB default charset=utf8 comment '审计用户登录信息';

2.
授权所有的用户拥有对审计表的插入权限
select concat("grant insert on auditlog.t_audit to '",user,"'@'",host,"';") from mysql.user;  #拼结授权语句
……(执行grant语句)
flush privileges;

3.注意,以后每添加一个用户都必须授权此表的插入权限,要不会连接不上。

4.
设置init_connect参数
set global init_connect='insert into auditlog.t_audit(id,thread_id,login_time,localname,matchname) values(null,connection_id(),now(),user(),current_user());';

并在配置文件中增加如下语句:
init-connect='insert into auditlog.t_audit(id,thread_id,login_time,localname,matchname) values(null,connection_id(),now(),user(),current_user());'
以便下次重启时能生效

5.建立用户
CREATE USER 'repl'@'192.168.66.%' IDENTIFIED BY '123456';
GRANT select,update,delete,insert ON test.* TO 'repl'@'192.168.66.%';
需要重新执行第2步,或是手动执行grant insert on auditlog.t_audit to 'repl'@'192.168.66.%';
权限说明:对业务库有DML,对审计库表auditlog.t_audit只有插入insert

请检查:show grants for 'repl'@'192.168.66.%';
show grants for 'repl'@'192.168.66.%';
+---------------------------------------------------------------------------+
| Grants for repl@192.168.66.%                                              |
+---------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'repl'@'192.168.66.%'    #只有登录权限,只看           |                |GRANT SELECT, INSERT, UPDATE, DELETE ON `test`.* TO 'repl'@'192.168.66.%' |
| GRANT INSERT ON `auditlog`.`t_audit` TO 'repl'@'192.168.66.%'             |
+---------------------------------------------------------------------------+
备用:
revoke SELECT, INSERT, UPDATE, DELETE ON *.* from 'repl'@'192.168.66.%';   
6.使用以上用户登录,验证记录信息
mysql -urepl -p -h192.168.66.140

验证:
select * from auditlog.t_audit;
+----+-----------+---------------------+---------------+-------------------+
| id | thread_id | login_time          | localname     | matchname         |
+----+-----------+---------------------+---------------+-------------------+
|  1 |         8 | 2021-02-26 14:16:14 | repl@mysqlvms | repl@192.168.66.% |
+----+-----------+---------------------+---------------+-------------------+

7.生成数据
create table t1(x int primary key auto_increment);
insert into t1 () values (),(),(),();
insert into t1(x) select x +(select count(*) from t1) from t1;(可多执行几次生成更改行)

8.使用repl用户删除部分数据,然后通过binlog日志找到执行的具体语句对应的thread_id值。
最后通过审计表auditlog.t_audit,实现简单的审计功能。(binlog日志需要根据时间确定,属于费时的部分)

删除语句:
delete from t1 where x>10

binlog信息:找到thread_id=11
mysqlbinlog -vv --base64-output=decode-rows mysql-bin.000002 >2.txt
grep -B3 -w t1 2.txt |grep -v  '^--$' >tb_name.sql #缩小查找范围

# at 8882
#210226 15:00:35 server id 1403306  end_log_pos 8981 CRC32 0x5bf989d4   Query   thread_id=11    exec_time=0     error_code=0
SET TIMESTAMP=1614322835/*!*/;
delete from t1 where x>10

最终对应出repl@mysqlvms用户和主机名

步骤2截图:
在这里插入图片描述
步骤8截图
在这里插入图片描述
在这里插入图片描述

mysqlbinlog

常用的语句(之后会出一篇较为详细的文章)

1.全部信息
mysqlbinlog -vv --base64-output=decode-rows mysql-bin.000002 >2.txt
grep -B3 -w t1 2.txt |grep -v  '^--$' >tb_name.sql #缩小查找范围
2.过滤出test.t1表的delete语句执行时间
mysqlbinlog mysql-bin.000002  --database test  --base64-output=decode-rows -vv  --skip-gtids=true |grep  -C 1 -i "delete from t1" > sql2.log

more sql2.log 
SET TIMESTAMP=1614322835/*!*/;
delete from t1 where x>10

完结撒花

本文说明,主要技术内容来自互联网技术大佬的分享,还有一些自我的加工(仅仅起到注释说明的作用)。如有相关疑问,请留言,将确认之后,执行侵权必删

请给我的爱人一杯mojito
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mysql 数据库安全之审计 - BinLog+ init_connect
种瓜得瓜,种豆得豆
05-07 1227
前言 数据库审计主要用于监视并记录对数据库的各类操作,并记入审计日志或数据库中以便日后进行跟踪、查询、分析,以实现对用户操作的监控和审计审计是一项非常重要的工作,也是企业数据安全体系的重要组成部分,虽然Mysql企业版自带审计功能,但是需要付费,而Mysql社区版没有审计功能,本文主要介绍简单易用审计方法 Binlog + init_connect Binlog 是指打开mysqlbinlog功能,通过分析binlog可以帮助我们在需要时查询数据库做了哪些操作,但是只通过binlog没有办法发现是哪
mysql审计binlog_通过init_connect + binlog 实现MySQL审计功能
weixin_31995337的博客
01-19 314
一、简介1、概述mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。2、原理1) 由于审计的关键在于DML语句,而所有的DM...
init-connect+binlog实现MySQL审计功能
eagle89的专栏
09-23 1170
背景介绍: 假设有这么一个情况,你作为某公司的MySQL-DBA,某日公司的数据库一些数据被认为删除了。尽管有数据备份,但是因停止服务而造成了损失。公司希望查出始作俑者是谁。拥有数据库操作权限的人很多,如何排查呢 ? MySQL本身并没有审计功能binlog中虽然可以记录执行sql语句的thread id,通过thread id再结合show processlist可以查找到源头IP,但...
mysql初始化命令 mysqld --initialize 参数说明
最新发布
毅香雪海的博客
05-23 1555
mysql初始化命令 mysqld --initialize 参数说明
通过init-connect + binlog 实现MySQL审计功能
weixin_30588729的博客
08-13 84
背景: 假设这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有被人为删了。 尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。 但是拥有数据库操作权限的人很多,如何排查,证据又在哪? 是不是觉得无能为力? mysql本身并没有操作审计功能,那是不是意味着遇到这种情况只能自认倒霉呢? 本文就将讨论一种简单易行的,用于mysql...
MySQL审计init-connect + binlog
南山行者
04-22 1589
如果只需要统计修改操作,有一个办法,我们可以使用init-connect + binlog的方法进行mysql的操作审计init-connect是配置文件的一个参数,作用是在每个客户端连接时执行,我们需要有一个表来保存连接客户端的ID,IP和登录时间,ID是连接的session的ID号,是递增的。那么,当我们在binlog查出操作的SQL,并找到该记录的thread_id,然后将thread_i
mysql审计binlog_mysql init-connect + binlog的方法进行mysql审计
weixin_39644915的博客
02-02 112
mysql审计功能mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。在后期审计进行行为追踪时,根据binlog记录的行为及对应的connectio...
mysql binlog ip_mysql 用init-connect+binlog实现用户操作追踪做access的ip的log记录
weixin_35126200的博客
01-27 821
MYSQL中,每个连接都会先执行init-connect,进行连接的初始化。我们可以在这里获取用户的登录名称和thread的ID值。然后配合binlog,就可以追踪到每个操作语句的操作时间,操作人等。实现审计。实验过程:1:创建登录日志库,登录日志表CREATEDATABASE`accesslog`;USE`accesslog`;CREATETABLE`accesslog`(`id`...
通过init_connect + binlog 实现MySQL审计功能
weixin_33845477的博客
09-11 208
一、简介1、概述mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。2、原理1) 由于审计的关键在于D...
mysql init-connect + binlog的方法进行mysql审计
李晓蒙的博客
07-05 1112
mysql审计功能   mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。在后期审计进行行为追踪时,根据binlog记录的行为
MySQL Binlog Digger 4.28 + Mysql Binlog分析 + 数据库
08-19
此外,它还可以结合[mysqld]的init-connect参数mysql 8.0的数据库审计。 ​一. 对dml的挖掘分析(同时支持离线binlog) 二 . 对ddl的挖掘分析(同时支持离线binlog) 三. 对dml进行审计 四. 对ddl的审计
MySQL Binlog Digger 4.18 Setup.exe
11-24
MySQL Binlog Digger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog...此外,它还可以结合[mysqld]的init-connect参数mysql 8.0的数据库审计
MySQL Binlog Digger 4.20 Setup.exe
05-07
MySQL Binlog Digger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog...此外,它还可以结合[mysqld]的init-connect参数mysql 8.0的数据库审计
MySQL初始化之后启动报错(mysqld: Table ‘mysql.plugin‘ doesn‘t exist)
一杯Mojito可以吗
10-26 4789
初始化之后,服务无法启动。
清理MySQL表碎片(Table Fragmentation)
一杯Mojito可以吗
11-03 2412
使用背景 表的 DATA_FREE 碎片较多需要清理,也可以理解为减少表碎片。 以下采用倒叙的方法(先介绍解决办法,再介绍原理),读者可以按照自己的时间或是喜好阅读。 操作方法 建议使用:ALTER TABLE xxxx ENGINE=InnoDB; ANALYZE TABLE xxxx; 进行操作,这也是官方推荐的表碎片优化操作。 第三方工具 pt工具或者gh-ost(大数量的环境下工具更好)。 以下为原理和可能使用到的sql语句 在MySQL中,可以使用OPTIMIZE TABLE、ALTER
Mysql数据同步工具pt-table-sync
一杯Mojito可以吗
01-21 2404
背景 percona公司的 pt-table-checksum和pt-table-sync,前者用来实现主从复制数据一致性的校验,后者实现数据修复,将数据修复到一致。 本次讨论的是主从架构,不包括双主 对于是主主复制架构来说,变更操作必须在目标端数据库进行,在变更的同时需要指定选项–no-bin-log,即变更的操作不写入binlog中,否则变更操作会反向复制到另一台主库中执行变更操作,造成数据的不一致。 分为三种情况 有主键或是唯一键(本文内容) 没有主键或是唯一键(可以在主从库上添加) 有
[1] 20752 -bash: $: command not found [1]+ Exit 127 $ sudo mysqld_safe --init-file=/path/to/mysql-init
04-07
The second part of the error message indicates that the command "sudo mysqld_safe --init-file=/path/to/mysql-init" was executed but exited with an error code of 127. This could be due to a variety of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值