在MySQL中使用init-connect与binlog来实现用户操作追踪记录

最新推荐文章于 2024-11-05 14:22:47 发布
最新推荐文章于 2024-11-05 14:22:47 发布
阅读量368 收藏 1
点赞数
文章标签: 数据库 开发工具 网络 
在MySQL中使用init-connect与binlog来实现用户操作追踪记录 
分类: MySQL

 

前言:
测试环境莫名其妙有几条重要数据被删除了,由于在binlog里面只看到是公用账号删除的,无法查询是那个谁在那个时间段登录的,就考虑怎么记录每一个MYSQL账号的登录信息,在MYSQL中,每个连接都会先执行init-connect,进行连接的初始化,我们可以在这里获取用户的登录名称和thread的ID值。然后配合binlog,就可以追踪到每个操作语句的操作时间,操作人以及客户端的连接进程信息等。实现审计。


1,在mysql服务器db中建立单独的记录访问信息的库
set names utf8;
create database access_log;
CREATE TABLE `access_log` 
(
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `thread_id` int(11) DEFAULT NULL, -- 线程ID,这个值很重要
  `log_time` timestamp NOT NULL DEF AULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, -- 登录时间
  `localname` varchar(30) DEFAULT NULL, -- 登录名称
  `matchname` varchar(30) DEFAULT NULL, -- 登录用户
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 comment '录入用户登录信息';



2,在配置文件中配置init-connect参数。登录时插入日志表。如果这个参数是个错误的SQL语句,登录就会失败。
vim /usr/local/mysql/my.cnf
init-connect='INSERT INTO access_log.access_log VALUES(NULL,CONNECTION_ID(),NOW(),USER(),CURRENT_USER());'
然后重启数据库

3,创建普通用户,不能有super权限,而且用户必须有对access_log库的access_log表的insert权限,否则会登录失败。
给登录用户赋予insert权限,但是不赋予access_log的insert、select权限,
GRANT INSERT,DELETE,UPDATE,SELECT ON test.* TO audit_user@'%' IDENTIFIED BY 'cacti_user1603';
mysql> GRANT CREATE,DROP,ALTER,INSERT,DELETE,UPDATE,SELECT ON test.* TO audit_user@'%' IDENTIFIED BY 'cacti_user1603';
Query OK, 0 rows affected (0.00 sec)
mysql> exit
然后去用新的audit_user登录操作
[root@db_server ~]# /usr/local/mysql/bin/mysql  -uaudit_user -p -S /usr/local/mysql/mysql.sock
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 25
Server version: 5.6.12-log

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> lect * from access_log.access_log;
ERROR 2006 (HY000): MySQL server has gone away
No connection. Trying to reconnect...
Connection id:    26
Current database: *** NONE ***


ERROR 1184 (08S01): Aborted connection 26 to db: 'unconnected' user: 'audit_user' host: 'localhost' (init_connect command failed)
mysql> 
看到报错信息 (init_connect command failed),再去错误日志error log验证一下:
tail -fn 5 /usr/local/mysql/mysqld.log 
2014-07-28 16:03:31 23743 [Warning] Aborted connection 25 to db: 'unconnected' user: 'audit_user' host: 'localhost' (init_connect command failed)
2014-07-28 16:03:31 23743 [Warning] INSERT command denied to user ''@'localhost' for table 'access_log'
2014-07-28 16:04:04 23743 [Warning] Aborted connection 26 to db: 'unconnected' user: 'audit_user' host: 'localhost' (init_connect command failed)
2014-07-28 16:04:04 23743 [Warning] INSERT command denied to user ''@'localhost' for table 'access_log'
看到必须要有对access_log库的access_log表的insert权限才行。


4,赋予用户access_log的insert、select权限,然后重新赋予权限:
GRANT SELECT,INSERT ON access_log.* TO audit_user@'%';
mysql> 
mysql> GRANT SELECT,INSERT ON access_log.* TO audit_user@'%';
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye

再登录,报错如下:
[root@db_server ~]# /usr/local/mysql/bin/mysql  -uaudit_user -p -S /usr/local/mysql/mysql.sock
Enter password: 
ERROR 1045 (28000): Access denied for user 'audit_user'@'localhost' (using password: YES)
[root@db_server ~]# 

去查看error日志:
2014-07-28 16:15:29 23743 [Warning] INSERT command denied to user ''@'localhost' for table 'access_log'
2014-07-28 16:15:41 23743 [Warning] Aborted connection 37 to db: 'unconnected' user: 'audit_user' host: 'localhost' (init_connect command failed)
2014-07-28 16:15:41 23743 [Warning] INSERT command denied to user ''@'localhost' for table 'access_log'
2014-07-28 16:15:50 23743 [Warning] Aborted connection 38 to db: 'unconnected' user: 'audit_user' host: 'localhost' (init_connect command failed)
2014-07-28 16:15:50 23743 [Warning] INSERT command denied to user ''@'localhost' for table 'access_log'

需要用root用户登录进去,清空掉用户为''的用户记录。
 mysql> select user,host,password from mysql.user;
+----------------+-----------+-------------------------------------------+
| user           | host      | password                                  |
+----------------+-----------+-------------------------------------------+
| root           | localhost |                                           |
| root           | db_server   |                                           |
| root           | 127.0.0.1 |                                           |
| root           | ::1       |                                           |
|                | localhost |                                           |
|                | db_server   |                                           |
| cacti_user     | %         | *EB9E3195E443D577879101A35EF64A701B35F949 |
| cacti_user     | 1         | *D5FF9B53A78232DA13D3643965A5961449B387DB |
| cacti_user     | 2         | *D5FF9B53A78232DA13D3643965A5961449B387DB |
| test_user      | 192.%     | *8A447777509932F0ED07ADB033562027D95A0F17 |
| test_user      | 1         | *8A447777509932F0ED07ADB033562027D95A0F17 |
| weakpwd_user_1 | 10.%      | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |
| weakpwd_user_2 | 10.%      | *B1461C9C68AFA1129A5F968C343636192A084ADB |
| weakpwd_user_3 | 10.%      | *DCB7DF5FFC82C441503300FFF165257BC551A598 |
| audit_user     | %         | *AEAB1915B137FAFDE9B949D67A9A42DDB68DD8A2 |
+----------------+-----------+-------------------------------------------+
15 rows in set (0.00 sec)

mysql> drop user ''@'localhost';
Query OK, 0 rows affected (0.00 sec)

mysql> drop user ''@'db_server';
Query OK, 0 rows affected (0.00 sec)

mysql> 

再用已经分配了access_log表的Insert权限的audit_user登录
mysql> select * from access_log.access_log;
+----+-----------+---------------------+---------------------------+--------------+
| id | thread_id | log_time            | localname                 | matchname    |
+----+-----------+---------------------+---------------------------+--------------+
|  4 |        41 | 2014-07-28 16:19:37 | audit_user@localhost      | audit_user@% |
|  5 |        42 | 2014-07-28 16:20:32 | audit_user@localhost      | audit_user@% |
|  6 |        45 | 2014-07-28 16:21:11 | audit_user@localhost      | audit_user@% |
+----+-----------+---------------------+---------------------------+--------------+
6 rows in set (0.00 sec)

mysql> show full processlist;
+----+------------+-----------+------+---------+------+-------+-----------------------+
| Id | User       | Host      | db   | Command | Time | State | Info                  |
+----+------------+-----------+------+---------+------+-------+-----------------------+
| 45 | audit_user | localhost | NULL | Query   |    0 | init  | show full processlist |
+----+------------+-----------+------+---------+------+-------+-----------------------+
1 row in set (0.00 sec)

mysql> 

5,再用另外一个用户登录建表,录入测试数据。
建表录入数据记录
mysql> use test;
Database changed
mysql> create table t1 select 1 as a, 'wa' as b;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0

查看跟踪用户行为记录。
mysql> select * from access_log.access_log;
+----+-----------+---------------------+---------------------------+--------------+
| id | thread_id | log_time            | localname                 | matchname    |
+----+-----------+---------------------+---------------------------+--------------+
|  4 |        41 | 2014-07-28 16:19:37 | audit_user@localhost      | audit_user@% |
|  5 |        42 | 2014-07-28 16:20:32 | audit_user@localhost      | audit_user@% |
|  6 |        45 | 2014-07-28 16:21:11 | audit_user@localhost      | audit_user@% |
|  7 |        48 | 2014-07-28 16:30:42 | audit_user@192.168.3.62    | audit_user@% |
|  8 |        50 | 2014-07-28 16:46:11 | audit_user@192.168.3.62    | audit_user@% |
+----+-----------+---------------------+---------------------------+--------------+
8 rows in set (0.00 sec)

去mysql db服务器上查看binlog 内容,解析完后,没有insert语句,怎么回事,去看my.cnf
#binlog-ignore-db=mysql                         # No sync databases
#binlog-ignore-db=test                          # No sync databases
#binlog-ignore-db=information_schema            # No sync databases
#binlog-ignore-db=performance_schema

原来是对test库有binlog过滤设置,全部注释掉。重启mysql库,重新来一遍,可以在看到binlog
在MySQL客户端上重新执行。
mysql> use test;
Database changed
mysql> insert into test.t1 select 5,'t5';
Query OK, 1 row affected (0.00 sec)
Records: 1  Duplicates: 0  Warnings: 0

mysql> select * from access_log.access_log;
+----+-----------+---------------------+---------------------------+--------------+
| id | thread_id | log_time            | localname                 | matchname    |
+----+-----------+---------------------+---------------------------+--------------+
|  1 |        17 | 2014-07-28 15:41:04 | cacti_user@192.168.171.71 | cacti_user@% |
|  2 |        18 | 2014-07-28 15:41:05 | cacti_user@192.168.171.71 | cacti_user@% |
|  3 |        19 | 2014-07-28 15:41:05 | cacti_user@192.168.171.71 | cacti_user@% |
|  4 |        41 | 2014-07-28 16:19:37 | audit_user@localhost      | audit_user@% |
|  5 |        42 | 2014-07-28 16:20:32 | audit_user@localhost      | audit_user@% |
|  6 |        45 | 2014-07-28 16:21:11 | audit_user@localhost      | audit_user@% |
|  7 |        48 | 2014-07-28 16:30:42 | audit_user@192.168.3.62    | audit_user@% |
|  8 |        50 | 2014-07-28 16:46:11 | audit_user@192.168.3.62    | audit_user@% |
|  9 |        56 | 2014-07-28 19:32:12 | audit_user@192.168.1.12    | audit_user@% |
| 10 |         1 | 2014-07-28 20:02:56 | audit_user@192.168.3.62    | audit_user@% |
+----+-----------+---------------------+---------------------------+--------------+
10 rows in set (0.00 sec)
看到thread_id为1


6,如何查看何跟踪用户行为记录。
去mysql数据库服务器上查看binlog,应该thread_id=1的binlog记录。
[root@db_server binlog]# /usr/local/mysql/bin/mysqlbinlog  --base64-output=DECODE-ROWS  mysql-bin.000018 -v>3.log
[root@db_server binlog]# vim 3.log
# at 1103
#140728 20:12:48 server id 72  end_log_pos 1175 CRC32 0xa323c00e        Query   thread_id=1     exec_time=0     error_code=0
SET TIMESTAMP=1406549568/*!*/;
BEGIN
/*!*/;
# at 1175
#140728 20:12:48 server id 72  end_log_pos 1229 CRC32 0xbb8ca914        Table_map: `access_log`.`t1` mapped to number 72
# at 1229
#140728 20:12:48 server id 72  end_log_pos 1272 CRC32 0x8eed1450        Write_rows: table id 72 flags: STMT_END_F
### INSERT INTO `access_log`.`t1`
### SET
###   @1=10
###   @2='w0'
# at 1272
#140728 20:12:48 server id 72  end_log_pos 1303 CRC32 0x72b26336        Xid = 14
COMMIT/*!*/;

看到thread_id=1,然后,就可以根据thread_id=1来判断执行这条insert命令的来源,还可以在mysql服务器上执行show full processlist;来得到MySQL客户端的请求端口,
mysql> show full processlist;
+----+------------+-------------------+------+---------+------+-------+-----------------------+
| Id | User       | Host              | db   | Command | Time | State | Info                  |
+----+------------+-------------------+------+---------+------+-------+-----------------------+
|  1 | audit_user | 192.168.3.62:44657 | test | Sleep   |  162 |       | NULL                  |
|  3 | root       | localhost         | NULL | Query   |    0 | init  | show full processlist |
+----+------------+-------------------+------+---------+------+-------+-----------------------+
2 rows in set (0.00 sec)


mysql> 
看到Id为1的线程,端口是44657。

我们切换回mysql客户端,去查看端口是44657的是什么进程,如下所示:
[tim@db_client ~]$ netstat -antlp |grep 44657
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp        0      0 192.168.3.62:44657           192.168.1.12:3307            ESTABLISHED 6335/mysql          
[tim@db_client ~]$ 

获取到该进程的PID 6335,再通过ps -eaf得到该进程所执行的命令,如下所示:
[tim@db_client ~]$ ps -eaf|grep 6335
tim   6335 25497  0 19:59 pts/1    00:00:00 mysql -uaudit_user -p -h 192.168.1.12 -P3307
tim   6993  6906  0 20:16 pts/2    00:00:00 grep 6335
[tim@db_client ~]$

最后查到是通过mysql客户端登陆连接的。加入这个6335是某个web工程的,那么,也可以根据ps -eaf命令查询得到web工程的进程信息。



参考文章地址:http://blog.chinaunix.net/uid-24086995-id-168445.html

 

 
weixin_34347651
关注
mysql binlog跟踪_在MySQL使用init-connectbinlog实现用户操作追踪记录
weixin_34553415的博客
02-07 330
MySQL使用init-connectbinlog实现用户操作追踪记录分类: MySQL前言:测试环境莫名其妙有几条重要数据被删除了,由于在binlog里面只看到是公用账号删除的,无法查询是那个谁在那个时间段登录的,就考虑怎么记录每一个MYSQL账号的登录信息,在MYSQL,每个连接都会先执行init-connect,进行连接的初始化,我们可以在这里获取用户的登录名称和threadID...
mysql5.7审计功能开启_mysql利用init-connect增加访问审计功能的实现
weixin_30608641的博客
12-30 460
mysql的连接首先都是要通过init-connect初始化,然后连接到实例。我们利用这一点,通过在init-connect的时候记录用户thread_id,用户名和用户地址实现db的访问审计功能。实现步骤1、创建审计用的库表。为了不与业务的库冲突,单独创建自己的库:#建库表代码create database db_monitor ;use db_monitor ;CREATE TABLE a...
linux mysql 用户操作记录_在MySQL使用init-connectbinlog实现用户操作追踪记录...
weixin_42500720的博客
01-27 219
前言:测试环境莫名其妙有几条重要数据被删除了,由于在binlog里面只看到是公用账号删除的,无法查询是那个谁在那个时间段登录的,就考虑怎么记录每一个MySQL账号的登录信息,在MYSQL,每个连接都会先执行init-connect,进行连接的初始化,我们可以在这里获取用户的登录名称和threadID值。然后配合binlog,就可以追踪到每个操作语句的操作时间,操作人等。实现审计。MySQL删除...
MySQL 使用 init_connectbinlog 实现用户操作追踪记录
wzy0623的专栏
04-30 523
MySQL 使用 init_connectbinlog 实现用户操作追踪记录实现简单的审计功能。
Mysql 数据库安全之审计 - BinLog+ init_connect
种瓜得瓜,种豆得豆
05-07 1348
前言 数据库审计主要用于监视并记录数据库的各类操作,并记入审计日志或数据库以便日后进行跟踪、查询、分析,以实现用户操作的监控和审计。审计是一项非常重要的工作,也是企业数据安全体系的重要组成部分,虽然Mysql企业版自带审计功能,但是需要付费,而Mysql社区版没有审计功能,本文主要介绍简单易用审计方法 Binlog + init_connect Binlog 是指打开mysqlbinlog功能,通过分析binlog可以帮助我们在需要时查询数据库做了哪些操作,但是只通过binlog没有办法发现是哪
mysql利用init-connect增加访问审计功能的实现
09-09
一旦用户数据库进行任何操作,如删除表,审计记录应该能够通过`accesslog`表和配合`binlog`日志来追踪到具体是哪个用户执行了这个操作。通过查看`binlog`,我们可以找到对应的时间点和执行操作用户,从而实现...
如何在mysql如何追踪用户记录_MySql怎样追踪用户操作记录
weixin_39907850的博客
01-19 887
有时,我们想追踪某个数据库操作记录,如想找出是谁操作了某个表(比如谁将字段名改了)。二进制日志记录操作记录,线程号等信息,但是却没有记录用户信息,因此需要结合init-connect实现追踪init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。实验步骤:1:建监控连接信息的表use dba;create table accesslog(`t...
MySQL Binlog Digger 4.28 + Mysql Binlog分析 + 数据库
08-19
当发生误删、误增、误改时,它可以帮助我们从binlog快速定位到误操作的重做语句(redo sql),同时推理出回滚语句(undo sql)。此外,它还可以结合[mysqld]的init-connect参数做mysql 8.0的数据库审计。 ​一. 对dml...
2021/11/24---5 使用init-connect实现审计
AKAKAKA001的博客
11-28 960
1、实验目的 验证Mysql创建用户 验证Grant授权的作用 配置数据库审计,实现Mysql进行审计 验证Mysql创建用户 2、定义用户及授权 //使用root登录Mysql //创建新用户guest@‘%’,密码123456 CREATE USER 'guest'@'%' IDENTIFIED BY '123456'; select host,user,authentication_string from mysql.user; //查询 //将Users表的查询权限、插入、删除授
oceanbase V4.2.2社区版集群离线部署
king_harry的专栏
11-01 864
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
Redis实战-利用Lua解决批量插入防重方案
葵续浅笑的博客
11-01 1225
本文介绍了以Lua脚本为基础设计的防重和幂等方案。
Mysql数据库的UDF提权
最新发布
CoffeMilk的博客
11-05 880
渗透人员编写可调用系统命令行(CMD或shell)的文件生成动态链接库(Windows系统是.dll;Linux系统是.so),且将该动态链接库内容上传到MySql的函数插件文件夹目录下;然后在通过sql语句调用该动态链接库创建一个自定义函数,最后直接调用该自定义函数sql执行查询系统命令,实现提权(即:在数据库的查询就等价于直接在系统调用cmd或者shell执行命令)
数据库
wjj20040809的博客
11-02 746
表与表的关系:核心表mysql/oracle、SQLServer(微软)SQL。
SpringSession源码分析
lkr_lkr的博客
11-01 417
默认对常规Session的理解和使用,如何使用Set-Cookie。
情怀系列国际版棋牌完整源码具备强大的多语言扩展功能,涵盖了900多款子游戏,专为全球市场的游戏开发和运营设计。
z926098的博客
11-05 223
客户端使用Cocos Creator进行跨平台开发,可以发布为App、H5网页和PC网页。这种跨平台的能力使运营商只需维护一套代码,就能同时管理多个终端。除此之外,系统还支持产品的热更新功能,大幅提升运营效率并降低成本,实现了产品层面的“降维打击”。情怀棋牌源代码的服务器端使用JAVA和Node.js开发,采用RocketMQ作为消息队列间件,有效防止服务器堵塞、消峰。该源码包涵盖了完整的服务器端代码、服务端900款子游戏源码、客户端代码、客户端700款子游戏、管理后台代码、数据库以及热更新生成脚本等。
电科金仓(人大金仓)更新授权文件(致命错误: XX000: License file expired.)
轩小川
10-30 2428
问题:电科金仓(人大金仓)数据库链接异常,重启失败,查看日志如下:致命错误: XX000: License file expired.位置: PostmasterMain, postmaster.c:725。
spring boot使用mysql-jdbc-java获取binlog logid
05-24
要从MySQL获取binlog logid,您需要执行以下步骤: 1. 在MySQL配置文件启用binlog: 在MySQL配置文件(my.cnf或my.ini),确保启用了binlog。在[mysqld]部分添加以下行: ``` log-bin = mysql-bin binlog-format = ROW ``` 2. 重新启动MySQL服务: 在您对MySQL配置文件进行更改后,需要重新启动MySQL服务以使更改生效。 3. 查询binlog logid使用以下命令查询binlog logid: ``` SHOW MASTER STATUS; ``` 此命令将返回包含binlog logid的结果集。 4. 在Spring Boot使用mysql-jdbc-java获取binlog logid: 您可以使用mysql-jdbc-java驱动程序连接到MySQL,然后执行以下查询来获取binlog logid: ``` SELECT @@global.server_id AS server_id, @@global.binlog_format AS binlog_format, @@global.log_bin AS log_bin, @@global.log_bin_index AS log_bin_index, @@global.gtid_mode AS gtid_mode, @@global.gtid_current_pos AS gtid_current_pos; ``` 这将返回一个结果集,其包含binlog logid以及其他相关信息。 请注意,要使用mysql-jdbc-java获取binlog logid,您需要拥有足够的权限来执行上述查询。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值