對(duì)于MySQL眉孩、Percona、MariaDB三家都有自己的審計(jì)插件勒葱,但是MySQL的審計(jì)插件是只有企業(yè)版才有的浪汪,同時(shí)也有很多第三方的的MySQL的審計(jì)插件,而Percona和MariaDB都是GPL的審計(jì)插件凛虽。MariaDB的審計(jì)插件死遭,默認(rèn)是沒(méi)有安裝的的,安裝該插件并開(kāi)啟審計(jì)功能后凯旋,可以將對(duì)數(shù)據(jù)庫(kù)的各種操作記錄保存下來(lái)呀潭,以便追蹤操作來(lái)源及具體操作。
MariaDB版本:
Server version: 10.0.19-MariaDB-log Source distribution? ?(該版本自帶了server_audit插件)
一至非、MariaDB審計(jì)日志寫(xiě)到文件
1钠署、安裝server_audit插件
查看插件存放的目錄,登陸進(jìn)MariaDB荒椭,執(zhí)行:
MariaDB [(none)]> show variables like '%plugin%';
cd /apps/mariadb/lib/plugin/ 目錄下谐鼎,查看有沒(méi)有一個(gè)叫做server_audit.so的文件,如果沒(méi)有的話趣惠,到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下載放到/apps/mariadb/lib/plugin/目錄下即可该面。
2、安裝插件
MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'server_audit.so';
或者編輯數(shù)據(jù)庫(kù)的配置文件my.cnf信卡,添加如下內(nèi)容:
[mysqld]
plugin-load=server_audit.so
然后重啟mariadb數(shù)據(jù)庫(kù),推薦使用第一種方式题造,避免重啟數(shù)據(jù)庫(kù)傍菇。
安裝后,可登陸客戶(hù)端查看audit相關(guān)的全局變量:
MariaDB [(none)]> show global variables like '%audit%';
3界赔、打開(kāi)日志的審計(jì)功能
從上圖可以看到丢习,現(xiàn)在插件已將安裝上了,但是還沒(méi)有開(kāi)啟淮悼,可通過(guò)以下命令進(jìn)行開(kāi)啟:
MariaDB [(none)]> set global server_audit_logging=1;
通過(guò)命令開(kāi)啟該功能后咐低,一旦數(shù)據(jù)庫(kù)服務(wù)重啟后便會(huì)失效,可以通過(guò)在配置文件添加避免這個(gè)問(wèn)題:
[mysqld]
server_audit_logging=on
開(kāi)啟后袜腥,查看audit插件的運(yùn)行狀態(tài):
MariaDB [(none)]> show global status like '%audit%';
各參數(shù)含義如下:
server_audit_active :ON (表示server_audit插件在運(yùn)行)见擦;
server_audit_current_log : server_audit.log(審計(jì)日志路徑和日志名);
server_audit_last_error : 錯(cuò)誤消息;
server_audit_writes_failed : 因錯(cuò)誤沒(méi)有記錄的日志條目數(shù)鲤屡;
可對(duì)audit相關(guān)的變量通過(guò)命令行進(jìn)行設(shè)置损痰,也可以直接在配置文件my.cnf中進(jìn)行配置,常用變量設(shè)置如下:
set GLOBAL server_audit_file_path='/data/logs/mariadb/server_audit.log'; --日志保存路徑
set GLOBAL server_audit_events='connect,query,table'; --日志記錄的操作
set GLOBAL server_audit_events='query_ddl,query_dml'; --不記錄select查詢(xún)操作酒来,只記錄增刪改卢未、DDL操作
set GLOBAL server_audit_incl_users ='test,user,root'; --審計(jì)的用戶(hù)對(duì)象,不設(shè)置則針對(duì)所有用戶(hù)
set GLOBAL server_audit_file_rotate_size=1073741824;? --單個(gè)日志大小(單位:字節(jié))堰汉,文件到達(dá)該大小后辽社,會(huì)自動(dòng)切換
set GLOBAL server_audit_file_rotations=9; --日志保存數(shù)量
為了防止server_audit插件被卸載,可以在在配置文件my.cnf中添加如下選項(xiàng):
[mysqld]
server_audit=FORCE_PLUS_PERMANENT
然后重啟數(shù)據(jù)庫(kù)后生效翘鸭。
4滴铅、卸載插件
在MySQL客戶(hù)端中執(zhí)行如下命令:
MariaDB [(none)]> UNINSTALL PLUGIN server_audit;
驗(yàn)證卸載是否完成:
MariaDB [(none)]> show variables like '%audit%';
Empty set (0.00 sec)
卸載的步驟:
1、如果在數(shù)據(jù)庫(kù)的配置文件中配置了server_audit相關(guān)的選項(xiàng)矮固,需要先在配置文件里把這項(xiàng)配置項(xiàng)注釋掉失息,再重啟mariadb。
2档址、然后在客戶(hù)端執(zhí)行UNINSTALL PLUGIN server_audit;才能卸載掉這個(gè)插件盹兢。
3、卸載插件完成后守伸,執(zhí)行show variables like '%audit%';仍然能看到這個(gè)插件的可用參數(shù)绎秒,再次重啟mariadb才行。
二尼摹、MariaDB審計(jì)日志寫(xiě)到syslog
將MariaDB審計(jì)日志寫(xiě)到syslog的方法见芹,與寫(xiě)入到日志文件中的方法基本相同,就是多了一條顯式的指定日志的存儲(chǔ)方式而已蠢涝。
改變審計(jì)日志輸入類(lèi)型玄呛,即更改參數(shù)server_audit_output_type的值,命令如下:
MariaDB [(none)]> SET GLOBAL server_audit_output_type=SYSLOG;
需要重啟rsyslog服務(wù)后生效和二,命令如下:
# /etc/init.d/rsyslog restart
Shutting down system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]
Starting system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]
通過(guò)MySQL客戶(hù)端連接到數(shù)據(jù)庫(kù)后徘铝,執(zhí)行一些數(shù)據(jù)庫(kù)、表的操作惯吕,可以在syslog里看到操作的記錄:
# tailf /var/log/messages
默認(rèn)的審計(jì)日志都是記錄在/var/log/message文件里朽褪,不方便我們查看硬猫,可以修改下系統(tǒng)日志的配置文件:
# vim /etc/rsyslog.conf
在*.info;mail.none;authpriv.none;cron.none;local4.none? ? ?/var/log/messages的下面加一行:
if $programname =='mysql-server_auditing' then /data/logs/mariadb/mariadb_audit_log
然后在重啟rsyslog服務(wù):? ? ? ? ? ? ??
# /etc/init.d/rsyslog restart
Shutting down system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]
Starting system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]
這樣的話,就能將審計(jì)的日志輸出到獨(dú)立的文件/data/logs/mariadb/mariadb_audit_log里面。
(注意:審計(jì)日志在/var/log/messages寫(xiě)一遍告匠,在/data/logs/mariadb/mariadb_audit_log再寫(xiě)一遍申尤,不是單單只寫(xiě)到/var/log/mariadb_audit_log里面的)
通過(guò)MySQL客戶(hù)端連接到數(shù)據(jù)庫(kù)后趾断,執(zhí)行一些數(shù)據(jù)庫(kù)、表的操作兆蕉,可以在指定的日志文件里看到操作的記錄:
# tailf /data/logs/mariadb/mariadb_audit_log
補(bǔ)充:MariaDB Audit Plugin和init-connect+binlog比較
(1)、init-connect+binlog方案要求用戶(hù)對(duì)日志表至少有insert權(quán)限搔体,每添加一個(gè)新用戶(hù)都要進(jìn)行授權(quán)恨樟,顯得比較麻煩;而MariaDB Audit Plugin默認(rèn)會(huì)對(duì)所有用戶(hù)進(jìn)行行為審計(jì)疚俱,不需要對(duì)新添加的用戶(hù)進(jìn)行授權(quán)劝术,MariaDB Audit Plugin還可以指定對(duì)哪些用戶(hù)進(jìn)行行為審計(jì),哪些用戶(hù)不需要進(jìn)行行為審計(jì)呆奕;
(2)养晋、init-connect+binlog方案無(wú)法對(duì)具有super權(quán)限的用戶(hù)進(jìn)行行為審計(jì),而MariaDB Audit Plugin可以對(duì)所有用戶(hù)進(jìn)行行為審計(jì)梁钾,包括具有super權(quán)限的用戶(hù)绳泉;
(3)、init-connect+binlog方案需要修改配置文件之后重啟MySQL生效姆泻,而MariaDB Audit Plugin可以在線進(jìn)行配置零酪,無(wú)需重啟服務(wù)生效;
(4)拇勃、init-connect+binlog方案審計(jì)信息輸出到binlog中四苇,MariaDB Audit Plugin可以選擇將審計(jì)信息輸出到syslog或者自定義的路徑。