MySQL审计工具Audit插件使用

Posted 2023-04-13

参考技术A 一、介绍mysql AUDIT

MySQL AUDIT Plugin是一个 MySQL安全审计插件，由McAfee提供，设计强调安全性和审计能力。该插件可用作独立审计解决方案，或配置为数据传送给外部监测工具。支持版本为MySQL (5.1, 5.5, 5.6, 5.7)，MariaDB (5.5, 10.0, 10.1) ，Platform (32 or 64 bit)。从Mariadb 10.0版本开始audit插件直接内嵌了，名称为server_audit.so，可以直接加载使用。

二进制文件地址：https://bintray.com/mcafee/mysql-audit-plugin/release

macfee的mysql audit插件虽然日志信息比较大，对性能影响大，但是如果想要开启审计，请斟酌。

二、安装使用MySQL AUDIT

# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip

MySQL的插件目录为：

mysql> show global variables like 'plugin_dir';

+---------------+------------------------+

| Variable_name | Value                  |

+---------------+------------------------+

| plugin_dir    | /app/mysql/lib/plugin/ |

+---------------+------------------------+

1 row in set (0.00 sec)

复制库文件到MySQL库目录下

# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/

# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so

加载Audit插件

mysql> INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so';

查看版本

mysql> show global status like '%audit%';

+------------------------+-----------+

| Variable_name          | Value    |

+------------------------+-----------+

| Audit_protocol_version | 1.0      |

| Audit_version          | 1.1.2-694 |

+------------------------+-----------+

2 rows in set (0.00 sec)

开启Audit功能

mysql> SET GLOBAL audit_json_file=ON;

Query OK, 0 rows affected (0.00 sec)

执行任何语句(默认会记录任何语句)，然后去mysql数据目录查看mysql-audit.json文件(默认为该文件)。

当然，我们还可以通过命令查看audit相关的命令。

mysql> SHOW GLOBAL VARIABLES LIKE '%audit%';

其中我们需要关注的参数有：

1、audit_json_file

是否开启audit功能。

2、audit_json_log_file

记录文件的路径和名称信息。

3、audit_record_cmds

audit记录的命令，默认为记录所有命令。可以设置为任意dml、dcl、ddl的组合。如：audit_record_cmds=select,insert,delete,update。还可以在线设置set global audit_record_cmds=NULL。(表示记录所有命令)

4、 audit_record_objs

audit记录操作的对象，默认为记录所有对象，可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式：audit_record_objs=,test.*,mysql.*,information_schema.*。

5、audit_whitelist_users

用户白名单。

三、查看审计数据

插入一些数据，查看一下mysql-audit.json文件信息（json格式），如下：

$ cat /app/mysql/data/mysql-audit.json

"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql","pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":["db":"sbtest","name":"sbtest1","obj_type":"TABLE"],"query":"select * from sbtest1 limit 10"

审计记录文件一般存放在mysql的数据目录下。

使用logrotate轮替MySQL的mysql-audit审计日志

   最近一段时间发现在一台服务器上的MySQL的audit（http://jim123.blog.51cto.com/4763600/1955487）插件日志没有数据，刚开始以为是配置出问题就进数据库检查了一下发现没有问题，后来发现在MySQL的audit的指定文件路径下发现有轮替日志，初步分析是在使用系统的logrotate（http://jim123.blog.51cto.com/4763600/1880582）做日志轮替就去/etc/logrotate.d目录下找自定义的轮替日志，发现在做audit日志轮替时没有停止audit_json_file的日志写入，导致错于是在就修改了一下：

/data/mysqldata/mysql-audit.json {
    prerotate
        # stop mysql audit
        if test -x /usr/local/mysql/bin/mysql &&            /usr/local/mysql/bin/mysqladmin ping &>/dev/null
        then
           /usr/local/mysql/bin/mysql -e "SET GLOBAL audit_json_file=OFF;"
        fi
    endscript
        create 0600 mysql mysql
        notifempty
        daily
        rotate 5
        missingok
        compress
    postrotate
        # just if mysqld is really running and start mysql audit
        if test -x /usr/local/mysql/bin/mysqladmin &&            /usr/local/mysql/bin/mysqladmin ping &>/dev/null
        then
           /usr/local/mysql/bin/mysqladmin flush-logs &&            /usr/local/mysql/bin/mysql -e "SET GLOBAL audit_json_file=ON;"
        fi
    endscript
}

   在修改好后再测试一下轮替后审计日志可以正常写入。在这里不得不提的有两点：首先，在这里需要注意的是在使用MySQL的audit插件做审计时，在没有停止audit_json_file时多审计日志修改时会导致之后的日志无法写入会出错，所以在对audit_json_file日志做轮替修改时都需要SET GLOBAL audit_json_file=OFF关闭审计后再进行进行操作；其次在在你的root用户的家目录下一定要有你写好的~/.my.cnf密码文件，其中mysql和mysqladmin两个命令都需要有，这个以前有提及过，需要可以参看：http://jim123.blog.51cto.com/4763600/1900634

本文出自 “Jim的技术随笔” 博客，谢绝转载！