一、基本介绍
MySQL 数据库审计(MySQL Database Auditing)主要将用户对数据库的各类操作行为记录审计日志,以便日后进行跟踪、查询、分析,以实现对用户操作的监控和审计。审计是一项非常重要的工作,也是企业数据安全体系的重要组成部分,等保评测中也要求有审计日志。对于 DBA 而言,数据库审计也极其重要,特别是发生人为事故后,审计日志便于我们进行责任追溯,问题查找。
实现方式
二、实现方式介绍
MySQL 数据库可以通过多种方式进行审计,包括内置插件、第三方插件和旁路部署等实现方式。
内置插件(Enterprise Audit Plugin)
- MySQL 企业版提供了内置的审计插件 Enterprise Audit Plugin,可以记录数据库中的所有 SQL查询和用户活动。该插件允许用户自定义审计规则,比如记录指定用户或特定事件的操作。适用于需要详细审计日志的企业场景。
- 优点: 内置于MySQL,稳定且维护方便。
- 缺点: 需要 MySQL 企业版,开源版无法使用。
第三方插件(MariaDB Audit Plugin)
- MariaDB 提供了一个开源的审计插件 MariaDB Audit Plugin,可以在 MySQL 5.5、5.6 和 5.7
上使用。它记录所有的数据库操作,包括登录、查询、更新等,输出为文本格式的审计日志。 - 优点: 开源,兼容 MySQL 。
- 缺点: 功能相对MySQL 企业版的审计插件略有不足。
旁路部署方式暂不做介绍,本章主要介绍使用第三方插件(MariaDB Audit Plugin)来实现数据库审计功能。这个插件是MariaDB数据库中自带的插件,MariaDB和MySQL数据库的关系这里不做解释,自行查阅。
三、下载插件
我们需要下载MariaDB数据库,从它的插件目录中\lib\plugin找到server_audit.so插件(这里下载的是linux版本的,windows版本插件为server_audit.dll),将server_audit.so插件拷贝到mysql的插件目录下(/usr/local/mysql/lib/plugin/)
MySQL版本为 5.7.30
MariaDB版本为10.2.38,对应的server_audit.so插件版本为1.4.13
下载地址: MariaDB10.2.38
下面为插件版本和MariaDB对应表
四、安装插件
1、修改插件的权限及属主
[root@localhost plugin]# chown mysql:mysql server_audit.so
[root@localhost plugin]# chmod 755 server_audit.so
[root@localhost plugin]# ls -lh server_audit.so
-rwxr-xr-x. 1 mysql mysql 191K May 4 2021 server_audit.so
2、修改MySQL的配置文件my.cnf启动并配置审计插件(永久生效方式)
[mysqld]
# 处理时间戳警告
explicit_defaults_for_timestamp=1
# 启用审计插件
plugin-load=server_audit=server_audit.so
# 启用审计日志记录
server_audit_logging=ON
# 防止插件被卸载
server_audit = FORCE_PLUS_PERMANENT
# 审计日志文件路径
server_audit_file_path=/var/log/mysql/audit.log
# 审计日志格式 写入文件中
server_audit_output_type=FILE
# 日志轮转开关 server_audit_output_type=FILE时设置
server_audit_file_rotate_now=ON
# 日志轮转大小 /B 50MB
server_audit_file_rotate_size=52428800
# 保存的轮转日志数量
server_audit_file_rotations=9
# 审计日志中包含的事件类型(CONNECT, QUERY, TABLE)
server_audit_events=CONNECT,QUERY_DDL,QUERY_DML_NO_SELECT
!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/
之后重启数据库服务即可生效
以上步骤,已经完成审计插件的安装和配置,下面来了解一下主要配置参数的作用:
日志内容示例:
# 进行操作后 查看审计日志内容
20220512 15:17:17,mysqlhost2,test_user,10.30.21.95,118,0,FAILED_CONNECT,,,1045
20220512 15:17:30,mysqlhost2,test_user,10.30.21.95,119,0,FAILED_CONNECT,,,1045
20220512 15:20:26,mysqlhost2,test_user,10.30.21.95,124,0,CONNECT,,,0
20220512 15:20:49,mysqlhost2,test_user,10.30.21.95,124,395,QUERY,,'create database testdb',0
20220512 15:22:06,mysqlhost2,test_user,10.30.21.95,129,419,QUERY,testdb,'CREATE TABLE if not exists `test_tb0` (\r\n `increment_id` int(11) NOT NULL AUTO_INCREMENT COMMENT \'自增主键\',\r\n `test_id` int(11) NOT
NULL ,\r\n `test_name` varchar(20) DEFAULT NULL,\r\n `create_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT \'创建时间\',\r\n `update_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE C
URRENT_TIMESTAMP COMMENT \'修改时间\',\r\n PRIMARY KEY (`increment_id`)\r\n) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT=\'测试table\'',0
20220512 15:23:09,mysqlhost2,test_user,10.30.21.95,129,426,QUERY,testdb,'insert into test_tb0 (test_id,test_name) values (1001,\'4343df\'),(1002,\'dfd\')',0
20220512 15:23:22,mysqlhost2,test_user,10.30.21.95,129,433,QUERY,testdb,'delete from test_tb0',0
20220512 15:24:14,mysqlhost2,test_user,10.30.21.95,129,448,QUERY,testdb,'create table test_tb0 (id int)',1050
20220512 15:24:25,mysqlhost2,test_user,10.30.21.95,129,452,QUERY,testdb,'drop table test_tb0',0
20220512 15:25:13,mysqlhost2,test_user,10.30.21.95,126,0,DISCONNECT,testdb,,0
# 连接审计主要审计连接数据库、断开连接、连接失败等操作,其日志格式如下:
[timestamp],[serverhost],[username],[host],[connectionid],0,CONNECT,[database],,0
[timestamp],[serverhost],[username],[host],[connectionid],0,DISCONNECT,,,0
[timestamp],[serverhost],[username],[host],[connectionid],0,FAILED_CONNECT,,,[retcode]
# QUERY审计各种数据库变更事件,执行失败也会记录,其日志记录格式如下:
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],QUERY,[database],[object], [retcode]
如需使用插件请到主页资源进行下载
扫一扫
3798
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
