给MariaDB开启日志审计功能
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了给MariaDB开启日志审计功能相关的知识,希望对你有一定的参考价值。
如果很多运维或者开发都分配了数据库的操作权限的话,某一天表或者字段丢失了都无法找到谁干的,这个锅只能运维来背了,因此有必要给数据库的操作记录保存下来。
下面来演示下如何操作:
软件版本:
MariaDB10.0.17 (自带了server_audit插件)
MariaDB审计日志写到文件
安装server_audit插件
登陆进MariaDB,执行:
> show variables like ‘%plugin%‘; 查看插件存放的目录
cd /usr/local/mariadb/lib/plugin/ 查看有没有一个叫做server_audit.so的文件。
如果没有的话,到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下载放到/usr/local/mariadb/lib/plugin/目录下即可。
安装插件
> INSTALL PLUGIN server_audit SONAME‘server_audit.so‘;
或者编辑/etc/my.cnf添加
[mysqld] plugin-load=server_audit=server_audit.so
然后重启mariadb。
查看相关的全局变量
> show variables like ‘%audit%‘;
打开日志的审计功能
> set global server_audit_logging=on;
但是服务重启后会失效,可以通过在配置文件添加避免这个问题:
[mysqld] server_audit_logging=on
查看audit插件的运行状态:
> show global status like ‘%audit%‘;
server_audit_active :ON (表示server_audit插件在运行);
server_audit_current_log : server_audit.log(审计日志路径和日志名);
server_audit_last_error : 错误消息;
server_audit_writes_failed : 因错误没有记录的日志条目数
设置变量
> set GLOBAL server_audit_events=‘CONNECT,QUERY,TABLE‘; > set GLOBAL server_audit_incl_users =‘test_user,root‘; > set GLOBAL server_audit_excl_users=‘lirl‘; > set GLOBALserver_audit_file_rotate_size=200000000; (单位:字节) > set GLOBAL server_audit_file_rotations=9;
为了防止server_audit插件被卸载,需要在配置文件中添加:
[mysqld]
server_audit=FORCE_PLUS_PERMANENT
重启MySQL生效。
或者我们直接在/etc/my.cnf的[mysqld]段添加上下面的内容,再重启MariaDB即可,上面的全部乱七八糟的设置就能都生效,省得那么多步骤。
# audit plugin settings plugin-load = server_audit.so server_audit = FORCE_PLUS_PERMANENT server_audit_events = ‘CONNECT,QUERY,TABLE‘ server_audit_logging = ON server_audit_incl_users = test1,root server_audit_file_rotate_size =10G server_audit_file_path = /usr/local/mariadb/var/server_audit.log
重启MariaDB后,我们tail -f /usr/local/mariadb/var/server_audit.log监控这个文件。
另开一个xshell终端,登陆mysql即可看到日志在刷新,例如查询修改操作都被记录下来了。
卸载server_audit的方法:
> UNINSTALL PLUGIN server_audit; > show variables like ‘%audit%‘; 验证是否卸载完
卸载的步骤:
1、需要先在配置文件里把server_audit相关的配置项目注释掉,再重启mariadb。
2、再来执行UNINSTALL PLUGIN server_audit;才能卸载掉这个插件。
3、卸载插件完成后,执行show variables like ‘%audit%‘;仍然能看到这个插件的可用参数,再次重启mariadb才行。
MariaDB审计日志写到syslog
和写入到日志文件中的配置方法基本相同,就是多了一条显式的指定日志的存储方式而已。简单演示下即可。
操作如下:
> INSTALL PLUGIN server_audit SONAME‘server_audit.so‘; > SET GLOBALserver_audit_output_type=SYSLOG; > SET GLOBALserver_audit_events=‘CONNECT,QUERY,TABLE‘; > SET GLOBAL server_audit_logging=on; > show variables like ‘%audit%‘;
> show status like ‘%audit%‘;
重启rsyslog服务
# /etc/init.d/rsyslog restart
然后连接到mysql执行些数据库、表的操作,可以tail -f /var/log/message里面看到操作的内容。
默认的操纵日志都打在/var/log/message里面,不方便我们查看,可以修改下/etc/rsyslog.conf,
在*.info;mail.none;authpriv.none;cron.none/var/log/messages的下面加一行:
if $programname ==‘mysql-server_auditing‘ then /var/log/mariadb_audit_log
# /etc/init.d/rsyslog restart 重启rsyslog服务
这样的话,就能将审计的日志输出到独立的文件/var/log/mariadb_audit_log里面。
(注意:审计日志在/var/log/messages写一遍,在/var/log/mariadb_audit_log再写一遍,不是单单只写到/var/log/mariadb_audit_log里面的)
补充:MariaDB Audit Plugin和init-connect+binlog比较
1)、init-connect+binlog方案要求用户对日志表至少有insert权限,每添加一个新用户都要进行授权,显得比较麻烦;而MariaDB Audit Plugin默认会对所有用户进行行为审计,不需要对新添加的用户进行授权,MariaDB Audit Plugin还可以指定对哪些用户进行行为审计,哪些用户不需要进行行为审计;
2)、init-connect+binlog方案无法对具有super权限的用户进行行为审计,而MariaDB Audit Plugin可以对所有用户进行行为审计,包括具有super权限的用户;
3)、init-connect+binlog方案需要修改配置文件之后重启MySQL生效,而MariaDB Audit Plugin可以在线进行配置,无需重启服务生效;
4)、init-connect+binlog方案审计信息输出到binlog中,MariaDB Audit Plugin可以选择将审计信息输出到syslog或者自定义的路径;
以上是关于给MariaDB开启日志审计功能的主要内容,如果未能解决你的问题,请参考以下文章