转载自:https://blog.51cto.com/13941177/2173620
一、简介
1、概述
mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:
1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。
3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。
2、原理
1) 由于审计的关键在于DML语句,而所有的DML语句都可以通过binlog记录。
2)不过遗憾的是目前MySQL binlog 中只记录,产生这条记录的connection id(随连接数自增,循环使用),这对之后的反查没有任何帮助。
3)因此考虑通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
4)在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。
备注:根据自己的实际环境使用审计方式,切记谨慎使用。
3、相对于audit审计插件
缺点:只对有低级权限的用户的操作有记录,权限高的则没有 。
优点:日志信息比较小,对性能影响小
二、安装审计功能
1、创建审计用的库表。
mysql> create database db_monitor charset utf8;
mysql> use db_monitor
CREATE TABLE accesslog
( thread_id int(11) DEFAULT NULL, #进程id
log_time datetime default null, #登录时间
localname varchar(50) DEFAULT NULL, #登录名称,带详细ip
matchname varchar(50) DEFAULT NULL, #登录用户
key idx_log_time(log_time)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
2、配置init-connect参数
# vim /etc/my.cnf
[mysqld]
server-id = 130
federated
log-bin = mysql-bin
binlog_format = mixed
init_connect='insert into db_monitor.accesslog(thread_id,log_time,localname,matchname) values(connection_id(),now(),user(),current_user());'
3、删除默认用户:
mysql> delete from user where Host='localhost' and User='';
4、创建普通用户,不能有super权限,而且用户必须有对access_log库的access_log表的insert权限,否则会登录失败。
mysql> GRANT CREATE,DROP,ALTER,INSERT,DELETE,UPDATE,SELECT ON *.* TO audi01@'%' IDENTIFIED BY '147258';
mysql> flush privileges;
5、赋予用户access_log的insert、select权限,然后重新赋予权限:
mysql> GRANT SELECT,INSERT ON db_monitor.* TO audi01@'%';
mysql> flush privileges;
6、查看,使用audi01用户登录查看
mysql> select * from accesslog;
mysql> delete from accesslog where thread_id=10;
通过mysqlbinlog查看
# /usr/bin/mysqlbinlog /var/lib/mysql/mysql-bin.000013
扩展说明:
1)init-connect只会在连接时执行,不会对数据库产生大的性能影响
2)init-connect是在连接时执行的动作命令,故可以用它来完成其它的功能,如:init_connect='SET autocommit=0'
3)init-connect不会记录拥有super权限的用户记录,为了防止init_connect语句由于语法错误或权限问题而所有用户都登陆不了的情况,保证至少super用户能登陆并修改此值。
4)于是一个log库,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。