背景
Oracle的MySQL社区版本不带审计插件(Audit Plugin),要想使用审计功能,你可以用Enterprise的版本,不过这需要银子。业界还有一些GPL协议的审计插件,这里我们选择MariaDB的审计插件。
迁移并安装
MariaDB的10.1版本对应与Oracle的MySQL 5.7,我们到它的官网上下载linux的通用版本https://downloads.mariadb.com/MariaDB/mariadb-10.1/bintar-linux-x86_64/
下载下来解压大约1.3G:
# ll -h mariadb-10.1.46-linux-x86_64.tar -rw-rw-r-- 1 scutech scutech 1.3G Aug 19 18:19 mariadb-10.1.46-linux-x86_64.tar
我们找到需要的审计插件:
./mariadb-10.1.46-linux-x86_64/lib/plugin/server_audit.so
把这个so结尾的文件拷贝到MySQL的插件目录,例如:/usr/lib/mysql/plugin/ 。使用下面的命令加载:
mysql> install plugin server_audit SONAME 'server_audit.so'; mysql> show plugins; ...... | SERVER_AUDIT | ACTIVE | AUDIT | server_audit.so | GPL | +----------------------------+----------+--------------------+----------------------+---------+
通过 SHOW PLUGINS 可以看到SERVER_AUDIT是最后一个plugin。
配置
MariaDB的审计插件的配置说明参见:https://mariadb.com/kb/en/mariadb-audit-plugin-configuration/
涉及到审计功能的参数如下:
mysql> show variables like '%audit%'; +-------------------------------+-----------------------+ | Variable_name | Value | +-------------------------------+-----------------------+ | server_audit_events | | | server_audit_excl_users | | | server_audit_file_path | server_audit.log | | server_audit_file_rotate_now | OFF | | server_audit_file_rotate_size | 1000000 | | server_audit_file_rotations | 9 | | server_audit_incl_users | | | server_audit_loc_info | | | server_audit_logging | OFF | | server_audit_mode | 1 | | server_audit_output_type | file | | server_audit_query_log_limit | 1024 | | server_audit_syslog_facility | LOG_USER | | server_audit_syslog_ident | mysql-server_auditing | | server_audit_syslog_info | | | server_audit_syslog_priority | LOG_INFO | +-------------------------------+-----------------------+ 16 rows in set (0.00 sec)
这些参数值可以用set语句进行设置:
SET GLOBAL server_audit_logging=ON; SET global server_audit_events='connect,query';
为了重新启动后也能生效,可以在MySQL的配置文件添加相应的设置:
[server] ... server_audit_logging=ON server_audit_events=connect,query …
server_audit_logging 这参数默认为OFF,把这个参数设置为ON才能启动审计功能。
server_audit_events 决定记录的事件,这里我们记录connect和query,也就是记录用户的连接和查询语句。
审计记录的文件和格式
使用下面的命令可以强制进行审计文件的切换:
mysql> set global server_audit_file_rotate_now =on; Query OK, 0 rows affected (0.00 sec)
生成一个新的审计文件,文件名后面数字表示文件的序号:
root@infokist:/var/lib/mysql# ll server_au* -rw-r----- 1 mysql mysql 26163 Aug 20 11:11 server_audit.log -rw-r----- 1 mysql mysql 326651 Aug 20 11:09 server_audit.log.1
server_audit_file_rotate_size 决定每个审计记录文件的大小,到这个阀值时自动进行审计记录文件的切换。
server_audit_file_rotations 决定审计记录文件的数量,到这个阀值时会覆盖第一个审计记录文件,默认为9。
server_audit_output_type 设置为file时,记录成文件,默认目录是MySQL的datadir目录, 默认文件名是server_audit.log 。当设置为syslog是,审计记录会通过标准<syslog.h> API发送给本地的syslogd daemon。
审计记录文件的格式是:
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],[operation],[database],[object],[retcode]
一个对应的例子如下:
20200820 11:04:04,infokist,superuser,localhost,23,4759,QUERY,ds_db,'select count(*) from vm_zfs_storage',0
