给MariaDB开启日志审计功能

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了给MariaDB开启日志审计功能相关的知识,希望对你有一定的参考价值。

如果很多运维或者开发都分配了数据库的操作权限的话,某一天表或者字段丢失了都无法找到谁干的,这个锅只能运维来背了,因此有必要给数据库的操作记录保存下来。

下面来演示下如何操作:

软件版本:

    MariaDB10.0.17    (自带了server_audit插件)

MariaDB审计日志写到文件

安装server_audit插件

登陆进MariaDB,执行:

> show variables like ‘%plugin%‘;  查看插件存放的目录

技术分享


cd /usr/local/mariadb/lib/plugin/  查看有没有一个叫做server_audit.so的文件。

如果没有的话,到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下载放到/usr/local/mariadb/lib/plugin/目录下即可。


安装插件

> INSTALL PLUGIN server_audit SONAME‘server_audit.so‘;

或者编辑/etc/my.cnf添加

[mysqld]
plugin-load=server_audit=server_audit.so


然后重启mariadb


查看相关的全局变量

> show variables like ‘%audit%‘;

技术分享


打开日志的审计功能

> set global server_audit_logging=on;

但是服务重启后会失效,可以通过在配置文件添加避免这个问题:

[mysqld]
server_audit_logging=on

 

 

查看audit插件的运行状态:

> show global status like ‘%audit%‘;

技术分享

server_audit_active :ON (表示server_audit插件在运行);

server_audit_current_log : server_audit.log(审计日志路径和日志名);

server_audit_last_error : 错误消息;

server_audit_writes_failed : 因错误没有记录的日志条目数

 

设置变量

> set GLOBAL server_audit_events=‘CONNECT,QUERY,TABLE‘;
> set GLOBAL server_audit_incl_users =‘test_user,root‘;
> set GLOBAL server_audit_excl_users=‘lirl‘; 
> set GLOBALserver_audit_file_rotate_size=200000000;   (单位:字节)
> set GLOBAL server_audit_file_rotations=9;

 

为了防止server_audit插件被卸载,需要在配置文件中添加:

[mysqld]

server_audit=FORCE_PLUS_PERMANENT

重启MySQL生效。


或者我们直接在/etc/my.cnf的[mysqld]段添加上下面的内容,再重启MariaDB即可,上面的全部乱七八糟的设置就能都生效,省得那么多步骤。

# audit plugin settings
plugin-load = server_audit.so
server_audit = FORCE_PLUS_PERMANENT
server_audit_events = ‘CONNECT,QUERY,TABLE‘
server_audit_logging = ON
server_audit_incl_users = test1,root
server_audit_file_rotate_size =10G
server_audit_file_path  = /usr/local/mariadb/var/server_audit.log

 

重启MariaDB后,我们tail -f /usr/local/mariadb/var/server_audit.log监控这个文件。

另开一个xshell终端,登陆mysql即可看到日志在刷新,例如查询修改操作都被记录下来了。

 

卸载server_audit的方法:

> UNINSTALL PLUGIN server_audit;
> show variables like ‘%audit%‘;   验证是否卸载完

 

卸载的步骤:

1、需要先在配置文件里把server_audit相关的配置项目注释掉,再重启mariadb。

2、再来执行UNINSTALL PLUGIN server_audit;才能卸载掉这个插件。

3、卸载插件完成后,执行show variables like ‘%audit%‘;仍然能看到这个插件的可用参数,再次重启mariadb才行。

 


MariaDB审计日志写到syslog

和写入到日志文件中的配置方法基本相同,就是多了一条显式的指定日志的存储方式而已。简单演示下即可。

 

操作如下:

> INSTALL PLUGIN server_audit SONAME‘server_audit.so‘;
> SET GLOBALserver_audit_output_type=SYSLOG;
> SET GLOBALserver_audit_events=‘CONNECT,QUERY,TABLE‘;
> SET GLOBAL server_audit_logging=on;
> show variables like ‘%audit%‘;


技术分享


> show status like ‘%audit%‘;

技术分享


重启rsyslog服务

# /etc/init.d/rsyslog restart

然后连接到mysql执行些数据库、表的操作,可以tail -f /var/log/message里面看到操作的内容。

技术分享

默认的操纵日志都打在/var/log/message里面,不方便我们查看,可以修改下/etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none/var/log/messages的下面加一行:

if $programname ==‘mysql-server_auditing‘ then /var/log/mariadb_audit_log

                   

 

# /etc/init.d/rsyslog restart   重启rsyslog服务

 

这样的话,就能将审计的日志输出到独立的文件/var/log/mariadb_audit_log里面。

(注意:审计日志在/var/log/messages写一遍,在/var/log/mariadb_audit_log再写一遍,不是单单只写到/var/log/mariadb_audit_log里面的)

 

补充:MariaDB Audit Plugininit-connect+binlog比较

1)、init-connect+binlog方案要求用户对日志表至少有insert权限,每添加一个新用户都要进行授权,显得比较麻烦;而MariaDB Audit Plugin默认会对所有用户进行行为审计,不需要对新添加的用户进行授权,MariaDB Audit Plugin还可以指定对哪些用户进行行为审计,哪些用户不需要进行行为审计;

2)、init-connect+binlog方案无法对具有super权限的用户进行行为审计,而MariaDB Audit Plugin可以对所有用户进行行为审计,包括具有super权限的用户;

3)、init-connect+binlog方案需要修改配置文件之后重启MySQL生效,而MariaDB Audit Plugin可以在线进行配置,无需重启服务生效;

4)、init-connect+binlog方案审计信息输出到binlog中,MariaDB Audit Plugin可以选择将审计信息输出到syslog或者自定义的路径;


以上是关于给MariaDB开启日志审计功能的主要内容,如果未能解决你的问题,请参考以下文章

MySQL审计插件-MariaDB Audit Plugin

MariaDB日志审计 帮你揪出内个干坏事儿的小子

mariadb审计日志导入 hive

第4天 一篇MariaDB日志审计

第4天 一篇MariaDB日志审计

binlog+审计日志 定位mariadb(mysql)数据库特定sql