mysql8审计_如何审计MySQL 8.0中的分类数据查询？

作者：Mike Frank 译：徐轶韬

面临的挑战

通常，涉及到敏感信息时用户需要使用审计日志。不仅仅是在表上运行Select，还包括访问表中的特定单元格。通常，这类数据将包含一个分类级别作为行的一部分，定义如何处理、审计等策略。

诸如此类的敏感数据可能被标记为–

高度敏感

最高机密

分类

受限制的

需要清除

高度机密

受保护的

以某种方式分类或标记的数据通常会被合规要求所涵盖。合规性要求审计数据库中发生在这类数据上的事件。特别是对于可能具有数据访问权限，但不应查看某些数据的管理员。

敏感数据可以与带有标签的数据穿插在一起，例如

公开

未分类

其他

当然，您可以在MySQL Audit中打开常规的选择/读取审计。但是，您无法判断是否选择了敏感数据，仅可以看到在表上运行了一个Select，以及Select的SQL文。

一个解决方案

虽然不是很明显，但是有多种方法可以根据所选择的数据来完成数据审计。下面是一个例子。

我们的示例表非常简单，id，name，desc，以及sec_level列。我们要审计Select语句里sec_level为H的行。

CREATE SCHEMA test_sel_audit;CREATE TABLE `test_sel_audit`.`info_cat_test` (`id` INT NOT NULL,`name` VARCHAR(20) NULL,`desc` VARCHAR(20) NULL,`sec_level` CHAR(1) NULL,PRIMARY KEY (`id`));

让我们添加几行数据。

INSERT INTO `test_sel_audit`.`info_cat_test` (`id`, `name`, `desc`, `sec_level`) VALUES ('1', 'fred', 'engineer', 'H');INSERT INTO `test_sel_audit`.`info_cat_test` (`id`, `name`, `desc`, `sec_level`) VALUES ('2', 'jill', 'program manager', 'M');INSERT INTO `test_sel_audit`.`info_cat_test` (`id`, `name`, `desc`, `sec_level`) VALUES ('3', 'joe', 'maintenance', 'L');

启用EE审计(需要使用MySQL企业版 –使用shell连接显示MySQL的版本。

> mysqlsh

mysqlsh> \connect newuser@localhost

Server version: 8.0.21-commercial MySQL Enterprise Server – Commercial

或者执行

mysql> select @@version;

如何安装审计插件的详细“操作方法”

https://dev.mysql.com/doc/refman/8.0/en/audit-log-installation.html

如何安装审计发行组件的详细信息

https://dev.mysql.com/doc/refman/8.0/en/audit-api-message-emit.html

> bin/mysql -u root -p

INSTALL COMPONENT "file://component_audit_api_message_emit";

在[mysqld]中设置启动时开启审计功能并设置选项。例如：

>vi /etc/my.cnf

plugin-load-add=audit_log.soaudit-log=FORCE_PLUS_PERMANENTaudit-log-format=JSONaudit-log-strategy=SYNCHRONOUS

有关审计选项和变量的更多详细信息，请参考审计日志手册。

https://dev.mysql.com/doc/mysql-security-excerpt/8.0/en/audit-log-reference.html

重新启动MySQL服务器。

注意：有多种方法可以启用审计而无需重新启动。上面是强制执行审计的操作方式。

首先，我将编写一个简单的函数，其中包含我想在审计跟踪中拥有的审计元数据。

我将创建一个简单的封装函数

DELIMITER $$CREATE FUNCTION audit_api_message_emit_FN(name CHAR(20))RETURNS VARCHAR(2)DETERMINISTICBEGINDECLARE aud_msg VARCHAR(255);select audit_api_message_emit_udf('sec_level_selected','audit_selected','Sensitive Data Selected','FOR ', name) into aud_msg;RETURN('OK');END$$DELIMITER ;

让我们运行一次select来演示如何构建select审计。

SELECT`info_cat_test`.`id`,`info_cat_test`.`name`,`info_cat_test`.`desc`,`info_cat_test`.`sec_level`,IF(`info_cat_test`.`sec_level` = 'H',AUDIT_API_MESSAGE_EMIT_FN(name),CAST('NA' AS CHAR))FROM`test_trigger`.`info_cat_test`;

如您所见，当sec_level为'H'时，有一个IF调用udit_api_message_emit_ud。OK显示了选择了H级别。

现在，我们可以在审计日志中看到它。

>sudo cat /usr/local/mysql/data/audit.log | egrep "H level sec data retrieved" | egrep fred

{ "timestamp": "2020-08-24 18:42:46", "id": 10, "class":"message", "event": "user", "connection_id": 10, "account": {"user": "root", "host": "localhost" }, "login": { "user": "root","os": "", "ip": "::1", "proxy": "" }, "message_data": {"component": "sec_level_selected", "producer": "SELECT Audit","message": " H level sec data retrieved", "map": { "FOR ": "fred"} } },

如果我运行

select * from FROM `test_sel_audit`.`info_cat_test`;

如果我为这种类型的SQL事件(读)设置了一个审计过滤器，我可以看到表数据被访问了——但是正如您所看到的，我不知道fred是否被选中了。

{ "timestamp": "2020-08-24 18:47:07", "id": 2, "class": "general","event": "status", "connection_id": 10, "account": { "user":"root", "host": "localhost" }, "login": { "user": "root", "os":"", "ip": "::1", "proxy": "" }, "general_data": { "command":"Query", "sql_command": "select", "query": "select * FROM`test_sel_audit`.`info_cat_test`\nLIMIT 0, 1000", "status": 0 } },

当然，我并不想让用户看到审计调用。因此，让我们创建一个简单的视图，并将emit审计函数移动到select的where部分，从而使其透明。

create view audit_cat_test as SELECT `info_cat_test`.`id`,`info_cat_test`.`name`,`info_cat_test`.`desc`,`info_cat_test`.`sec_level`FROM `test_trigger`.`info_cat_test`wherelength(IF(`info_cat_test`.`sec_level`= 'H',audit_api_message_emit_FN(name),CAST('NA' as CHAR))) = 2;

保持视图简单，以确保WHERE子句执行audit_api_message_emit_FN函数。

现在我可以运行视图

select * from audit_cat_test;

快速查看审计日志，我发现可以访问Fred。

{ "timestamp": "2020-08-25 13:58:11", "id": 2, "class": "message","event": "user", "connection_id": 10, "account": { "user": "root","host": "localhost" }, "login": { "user": "root", "os": "", "ip":"localhost", "proxy": "" }, "message_data": { "component":"sec_level", "producer": "audit_selected", "message": "SensitiveData Selected", "map": { "FOR ": "fred" } } },

结论

还有其他方法可以将audit_api_message_emit_udf()中的选定数据推送到MySQL审计流中。这只是一种可能且简单的方法。

在后续博客中，我将提供一个简单的示例来审计表上敏感机密数据的更改(更新，插入和删除)。

与往常一样，感谢您使用MySQL。

感谢您关注“MySQL解决方案工程师”！