對(duì)于MySQL眉孩、Percona、MariaDB三家都有自己的審計(jì)插件勒葱，但是MySQL的審計(jì)插件是只有企業(yè)版才有的浪汪，同時(shí)也有很多第三方的的MySQL的審計(jì)插件，而Percona和MariaDB都是GPL的審計(jì)插件凛虽。MariaDB的審計(jì)插件死遭，默認(rèn)是沒(méi)有安裝的的，安裝該插件并開(kāi)啟審計(jì)功能后凯旋，可以將對(duì)數(shù)據(jù)庫(kù)的各種操作記錄保存下來(lái)呀潭，以便追蹤操作來(lái)源及具體操作。

MariaDB版本：

Server version: 10.0.19-MariaDB-log Source distribution? ?(該版本自帶了server_audit插件)

一至非、MariaDB審計(jì)日志寫(xiě)到文件

1钠署、安裝server_audit插件

查看插件存放的目錄，登陸進(jìn)MariaDB荒椭，執(zhí)行：

MariaDB [(none)]> show variables like '%plugin%';

cd /apps/mariadb/lib/plugin/ 目錄下谐鼎，查看有沒(méi)有一個(gè)叫做server_audit.so的文件，如果沒(méi)有的話趣惠，到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下載放到/apps/mariadb/lib/plugin/目錄下即可该面。

2、安裝插件

MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'server_audit.so';

或者編輯數(shù)據(jù)庫(kù)的配置文件my.cnf信卡，添加如下內(nèi)容：

[mysqld]

plugin-load=server_audit.so

然后重啟mariadb數(shù)據(jù)庫(kù)，推薦使用第一種方式题造，避免重啟數(shù)據(jù)庫(kù)傍菇。

安裝后，可登陸客戶(hù)端查看audit相關(guān)的全局變量：

MariaDB [(none)]> show global variables like '%audit%';

3界赔、打開(kāi)日志的審計(jì)功能

從上圖可以看到丢习，現(xiàn)在插件已將安裝上了，但是還沒(méi)有開(kāi)啟淮悼，可通過(guò)以下命令進(jìn)行開(kāi)啟：

MariaDB [(none)]> set global server_audit_logging=1;

通過(guò)命令開(kāi)啟該功能后咐低，一旦數(shù)據(jù)庫(kù)服務(wù)重啟后便會(huì)失效，可以通過(guò)在配置文件添加避免這個(gè)問(wèn)題：

[mysqld]

server_audit_logging=on

開(kāi)啟后袜腥，查看audit插件的運(yùn)行狀態(tài)：

MariaDB [(none)]> show global status like '%audit%';

各參數(shù)含義如下：

server_audit_active :ON （表示server_audit插件在運(yùn)行）见擦；

server_audit_current_log : server_audit.log（審計(jì)日志路徑和日志名）；

server_audit_last_error : 錯(cuò)誤消息；

server_audit_writes_failed : 因錯(cuò)誤沒(méi)有記錄的日志條目數(shù)鲤屡；

可對(duì)audit相關(guān)的變量通過(guò)命令行進(jìn)行設(shè)置损痰，也可以直接在配置文件my.cnf中進(jìn)行配置，常用變量設(shè)置如下：

set GLOBAL server_audit_file_path='/data/logs/mariadb/server_audit.log'; --日志保存路徑

set GLOBAL server_audit_events='connect,query,table'; --日志記錄的操作

set GLOBAL server_audit_events='query_ddl,query_dml'; --不記錄select查詢(xún)操作酒来，只記錄增刪改卢未、DDL操作

set GLOBAL server_audit_incl_users ='test,user,root'; --審計(jì)的用戶(hù)對(duì)象，不設(shè)置則針對(duì)所有用戶(hù)

set GLOBAL server_audit_file_rotate_size=1073741824;? --單個(gè)日志大小(單位：字節(jié))堰汉，文件到達(dá)該大小后辽社，會(huì)自動(dòng)切換

set GLOBAL server_audit_file_rotations=9; --日志保存數(shù)量

為了防止server_audit插件被卸載，可以在在配置文件my.cnf中添加如下選項(xiàng):

[mysqld]

server_audit=FORCE_PLUS_PERMANENT

然后重啟數(shù)據(jù)庫(kù)后生效翘鸭。

4滴铅、卸載插件

在MySQL客戶(hù)端中執(zhí)行如下命令：

MariaDB [(none)]> UNINSTALL PLUGIN server_audit;

驗(yàn)證卸載是否完成：

MariaDB [(none)]> show variables like '%audit%';

Empty set (0.00 sec)

卸載的步驟：

1、如果在數(shù)據(jù)庫(kù)的配置文件中配置了server_audit相關(guān)的選項(xiàng)矮固，需要先在配置文件里把這項(xiàng)配置項(xiàng)注釋掉失息，再重啟mariadb。

2档址、然后在客戶(hù)端執(zhí)行UNINSTALL PLUGIN server_audit;才能卸載掉這個(gè)插件盹兢。

3、卸載插件完成后守伸，執(zhí)行show variables like '%audit%';仍然能看到這個(gè)插件的可用參數(shù)绎秒，再次重啟mariadb才行。

二尼摹、MariaDB審計(jì)日志寫(xiě)到syslog

將MariaDB審計(jì)日志寫(xiě)到syslog的方法见芹，與寫(xiě)入到日志文件中的方法基本相同，就是多了一條顯式的指定日志的存儲(chǔ)方式而已蠢涝。

改變審計(jì)日志輸入類(lèi)型玄呛，即更改參數(shù)server_audit_output_type的值，命令如下：

MariaDB [(none)]> SET GLOBAL server_audit_output_type=SYSLOG;

需要重啟rsyslog服務(wù)后生效和二，命令如下：

# /etc/init.d/rsyslog restart

Shutting down system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]

Starting system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]

通過(guò)MySQL客戶(hù)端連接到數(shù)據(jù)庫(kù)后徘铝，執(zhí)行一些數(shù)據(jù)庫(kù)、表的操作惯吕，可以在syslog里看到操作的記錄：

# tailf /var/log/messages

默認(rèn)的審計(jì)日志都是記錄在/var/log/message文件里朽褪，不方便我們查看硬猫，可以修改下系統(tǒng)日志的配置文件：

# vim /etc/rsyslog.conf

在*.info;mail.none;authpriv.none;cron.none;local4.none? ? ?/var/log/messages的下面加一行：

if $programname =='mysql-server_auditing' then /data/logs/mariadb/mariadb_audit_log

然后在重啟rsyslog服務(wù)：? ? ? ? ? ? ??

# /etc/init.d/rsyslog restart

Shutting down system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]

Starting system logger:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? [? OK? ]

這樣的話，就能將審計(jì)的日志輸出到獨(dú)立的文件/data/logs/mariadb/mariadb_audit_log里面。

(注意：審計(jì)日志在/var/log/messages寫(xiě)一遍告匠，在/data/logs/mariadb/mariadb_audit_log再寫(xiě)一遍申尤，不是單單只寫(xiě)到/var/log/mariadb_audit_log里面的)

通過(guò)MySQL客戶(hù)端連接到數(shù)據(jù)庫(kù)后趾断，執(zhí)行一些數(shù)據(jù)庫(kù)、表的操作兆蕉，可以在指定的日志文件里看到操作的記錄：

# tailf /data/logs/mariadb/mariadb_audit_log

補(bǔ)充：MariaDB Audit Plugin和init-connect+binlog比較

(1)、init-connect+binlog方案要求用戶(hù)對(duì)日志表至少有insert權(quán)限搔体，每添加一個(gè)新用戶(hù)都要進(jìn)行授權(quán)恨樟，顯得比較麻煩；而MariaDB Audit Plugin默認(rèn)會(huì)對(duì)所有用戶(hù)進(jìn)行行為審計(jì)疚俱，不需要對(duì)新添加的用戶(hù)進(jìn)行授權(quán)劝术，MariaDB Audit Plugin還可以指定對(duì)哪些用戶(hù)進(jìn)行行為審計(jì)，哪些用戶(hù)不需要進(jìn)行行為審計(jì)呆奕；

(2)养晋、init-connect+binlog方案無(wú)法對(duì)具有super權(quán)限的用戶(hù)進(jìn)行行為審計(jì)，而MariaDB Audit Plugin可以對(duì)所有用戶(hù)進(jìn)行行為審計(jì)梁钾，包括具有super權(quán)限的用戶(hù)绳泉；

(3)、init-connect+binlog方案需要修改配置文件之后重啟MySQL生效姆泻，而MariaDB Audit Plugin可以在線進(jìn)行配置零酪，無(wú)需重啟服務(wù)生效；

(4)拇勃、init-connect+binlog方案審計(jì)信息輸出到binlog中四苇，MariaDB Audit Plugin可以選擇將審計(jì)信息輸出到syslog或者自定義的路徑。