前言
为啥加审计,我是因为等保,具体审计是啥,自己百度,既然搜到这个文章或者看到这个文章,应该是知道什么是审计,这里不多解释了,作为一个咸鱼后端,踩了一些坑,在此整理出我的实际操作以及一些坑,望能稍微帮助后人,废话不多说,上才艺!
环境
CentOS
mysql-5.7
下载插件
插件给你们下载好了,很小,地址:
https://download.csdn.net/download/qq_37369161/89348310
注意:如果是mysql5.7不要使用mariadb10.6版本的插件,会报错
安装插件
登陆 Mysql,查看插件安装目录:(我这边使用的是Xshell,带Xftp功能)
登录命令
mysql -u root -p
查看插件安装目录
mysql> show global variables like 'plugin_dir';将插件放到上面显示的目录
改插件权限,直接右击选择更改权限,执行权限加上
安装
install plugin server_audit soname 'server_audit.so';查看插件
show plugins;扩展一下卸载插件
UNINSTALL PLUGIN server_audit;
修改my.cnf配置文件
vim /usr/local/mysql/my.cnf
在 [mysqld] 标签下添加:
#防止server_audit 插件被卸载 进行配置文件配置
server_audit=FORCE_PLUS_PERMANENT
#指定哪些操作被记录到日志文件中
server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL'
#开启审计功能
server_audit_logging=on
#默认存放路径,可以不写,默认到data文件下
server_audit_file_path=/usr/local/mysql/auditlogs
#设置文件大小 默认1000000,1073741824=1GB
server_audit_file_rotate_size=1073741824
#指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotations=200
#强制日志文件轮转
server_audit_file_rotate_now=ON
重启mysql
service mysql restart
验证
mysql> show variables like '%audit%';
+-------------------------------+-------------------------------+
| Variable_name | Value |
+-------------------------------+-------------------------------+
| server_audit_events | CONNECT,QUERY,TABLE,QUERY_DDL |
| server_audit_excl_users | |
| server_audit_file_path | /usr/local/mysql/auditlogs |
| server_audit_file_rotate_now | ON |
| server_audit_file_rotate_size | 1073741824 |
| server_audit_file_rotations | 200 |
| server_audit_incl_users | |
| server_audit_loc_info | |
| server_audit_logging | ON |
| server_audit_mode | 1 |
| server_audit_output_type | file |
| server_audit_query_log_limit | 1024 |
| server_audit_syslog_facility | LOG_USER |
| server_audit_syslog_ident | mysql-server_auditing |
| server_audit_syslog_info | |
| server_audit_syslog_priority | LOG_INFO |
+-------------------------------+-------------------------------+
16 rows in set (0.00 sec)
扩展(参数配置说明)
server_audit:启用安全审计插件;
server_audit_output_type:指定日志输出类型,可为 SYSLOG或 FILE
server_audit_logging:启动或关闭审计
server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有 table 记录
server_audit_file_path:如 server_audit_output_type 为 FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的 server_audit.log 文件中
server_audit_file_rotate_size:限制日志文件的大小
server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotate_now:强制日志文件轮转
server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比server_audit_excl_users优先级高
server_audit_syslog_facility:默认为LOG_USER,指定facility
server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分
server_audit_syslog_info:指定的info字符串将添加到syslog记录
server_audit_syslog_priority:定义记录日志的syslogd priority
server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响
server_audit_mode:标识版本,用于开发测试