如果很多运维或者开发都分配了数据库的操作权限的话,某一天表或者字段丢失了都无法找到谁干的,这个锅只能运维来背了,因此有必要给数据库的操作记录保存下来。
下面来演示下如何操作:
软件版本:
MariaDB10.0.17 (自带了server_audit插件)
MariaDB审计日志写到文件
安装server_audit插件
登陆进MariaDB,执行:
|
1
|
> show variables like
'%plugin%'
; 查看插件存放的目录
|
cd /usr/local/mariadb/lib/plugin/ 查看有没有一个叫做server_audit.so的文件。
如果没有的话,到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下载放到/usr/local/mariadb/lib/plugin/目录下即可。
安装插件
|
1
|
> INSTALL PLUGIN server_audit SONAME
'server_audit.so'
;
|
或者编辑/etc/my.cnf添加
|
1
2
|
[mysqld]
plugin-load=server_audit=server_audit.so
|
然后重启mariadb。
查看相关的全局变量
|
1
|
> show variables like
'%audit%'
;
|
打开日志的审计功能
> set global server_audit_logging=on;
但是服务重启后会失效,可以通过在配置文件添加避免这个问题:
|
1
2
|
[mysqld]
server_audit_logging=on
|
查看audit插件的运行状态:
|
1
|
> show global status like
'%audit%'
;
|
server_audit_active :ON (表示server_audit插件在运行);
server_audit_current_log : server_audit.log(审计日志路径和日志名);
server_audit_last_error : 错误消息;
server_audit_writes_failed : 因错误没有记录的日志条目数
设置变量
|
1
2
3
4
5
|
>
set
GLOBAL server_audit_events=
'CONNECT,QUERY,TABLE'
;
>
set
GLOBAL server_audit_incl_users =
'test_user,root'
;
>
set
GLOBAL server_audit_excl_users=
'lirl'
;
>
set
GLOBALserver_audit_file_rotate_size=200000000; (单位:字节)
>
set
GLOBAL server_audit_file_rotations=9;
|
为了防止server_audit插件被卸载,需要在配置文件中添加:
[mysqld]
server_audit=FORCE_PLUS_PERMANENT
重启MySQL生效。
或者我们直接在/etc/my.cnf的[mysqld]段添加上下面的内容,再重启MariaDB即可,上面的全部乱七八糟的设置就能都生效,省得那么多步骤。
|
1
2
3
4
5
6
7
8
|
# audit plugin settings
plugin-load = server_audit.so
server_audit = FORCE_PLUS_PERMANENT
server_audit_events =
'CONNECT,QUERY,TABLE'
server_audit_logging = ON
server_audit_incl_users = test1,root
server_audit_file_rotate_size =10G
server_audit_file_path =
/usr/local/mariadb/var/server_audit
.log
|
重启MariaDB后,我们tail -f /usr/local/mariadb/var/server_audit.log监控这个文件。
另开一个xshell终端,登陆mysql即可看到日志在刷新,例如查询修改操作都被记录下来了。
卸载server_audit的方法:
|
1
2
|
> UNINSTALL PLUGIN server_audit;
> show variables like
'%audit%'
; 验证是否卸载完
|
卸载的步骤:
1、需要先在配置文件里把server_audit相关的配置项目注释掉,再重启mariadb。
2、再来执行UNINSTALL PLUGIN server_audit;才能卸载掉这个插件。
3、卸载插件完成后,执行show variables like '%audit%';仍然能看到这个插件的可用参数,再次重启mariadb才行。
MariaDB审计日志写到syslog
和写入到日志文件中的配置方法基本相同,就是多了一条显式的指定日志的存储方式而已。简单演示下即可。
操作如下:
|
1
2
3
4
5
|
> INSTALL PLUGIN server_audit SONAME
'server_audit.so'
;
> SET GLOBALserver_audit_output_type=SYSLOG;
> SET GLOBALserver_audit_events=
'CONNECT,QUERY,TABLE'
;
> SET GLOBAL server_audit_logging=on;
> show variables like
'%audit%'
;
|
|
1
|
> show status like
'%audit%'
;
|
重启rsyslog服务
|
1
|
# /etc/init.d/rsyslog restart
|
然后连接到mysql执行些数据库、表的操作,可以tail -f /var/log/message里面看到操作的内容。
默认的操纵日志都打在/var/log/message里面,不方便我们查看,可以修改下/etc/rsyslog.conf,
在*.info;mail.none;authpriv.none;cron.none/var/log/messages的下面加一行:
|
1
|
if
$programname ==
'mysql-server_auditing'
then
/var/log/mariadb_audit_log
|
|
1
|
# /etc/init.d/rsyslog restart 重启rsyslog服务
|
这样的话,就能将审计的日志输出到独立的文件/var/log/mariadb_audit_log里面。
(注意:审计日志在/var/log/messages写一遍,在/var/log/mariadb_audit_log再写一遍,不是单单只写到/var/log/mariadb_audit_log里面的)
补充:MariaDB Audit Plugin和init-connect+binlog比较
1)、init-connect+binlog方案要求用户对日志表至少有insert权限,每添加一个新用户都要进行授权,显得比较麻烦;而MariaDB Audit Plugin默认会对所有用户进行行为审计,不需要对新添加的用户进行授权,MariaDB Audit Plugin还可以指定对哪些用户进行行为审计,哪些用户不需要进行行为审计;
2)、init-connect+binlog方案无法对具有super权限的用户进行行为审计,而MariaDB Audit Plugin可以对所有用户进行行为审计,包括具有super权限的用户;
3)、init-connect+binlog方案需要修改配置文件之后重启MySQL生效,而MariaDB Audit Plugin可以在线进行配置,无需重启服务生效;
4)、init-connect+binlog方案审计信息输出到binlog中,MariaDB Audit Plugin可以选择将审计信息输出到syslog或者自定义的路径;
