mysql如何开启审计功能

共计 2370 个字符，预计需要花费 6 分钟才能阅读完成。

这篇文章给大家分享的是有关 mysql 如何开启审计功能的内容。丸趣 TV 小编觉得挺实用的，因此分享给大家做个参考，一起跟随丸趣 TV 小编过来看看吧。

mysql audit- 访问日志记录

背景：

假设这么一个情况，你是某公司 mysql-DBA，某日突然公司数据库中的所有被人为删了。

尽管有数据备份，但是因服务停止而造成的损失上千万，现在公司需要查出那个做删除操作的人。

但是拥有数据库操作权限的人很多，如何排查，证据又在哪？

是不是觉得无能为力？

mysql 本身并没有操作审计的功能，那是不是意味着遇到这种情况只能自认倒霉呢？

本文就将讨论一种简单易行的，用于 mysql 访问审计的思路。

概述：

其实 mysql 本身已经提供了详细的 sql 执行记录–general log，但是开启它有以下几个缺点

无论 sql 有无语法错误，只要执行了就会记录，导致记录大量无用信息，后期的筛选有难度。

sql 并发量很大时，log 的记录会对 io 造成一定的印象，是数据库效率降低。

日志文件很容易快速膨胀，不妥善处理会对磁盘空间造成一定影响。

本文观点：

使用 init-connect + binlog 的方法进行 mysql 的操作审计。

由于 mysql binlog 记录了所有对数据库长生实际修改的 sql 语句，及其执行时间，和 connection_id 但是却没有记录 connection_id 对应的详细用户信息。

因此本文将通过 init-connect，在每次连接的初始化阶段，记录下这个连接的用户，和 connection_id 信息。

在后期审计进行行为追踪时，根据 binlog 记录的行为及对应的 connection-id 结合 之前连接日志记录 进行分析，得出最后的结论。

正文：

1. 设置 init-connect

1.1 创建用于存放连接日志的数据库和表

create database accesslog;

CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))

1.2 创建用户权限

可用现成的 root 用户用于信息的读取

grant insert on accesslog.* to  testuser@。。。。。。                              —— 其他用户需要对改库拥有 insert 的权限，不然 init 初始化时插不进去

1.3 设置 init-connect

在 [mysqld] 下添加以下设置：

init-connect=’insert into accesslog.accesslog values(connection_id(),now(),current_user(),user());’

log-bin

1.4 重启数据库生效

shell service mysqld restart

2. 记录追踪

2.1 thread_id 确认

假设想知道在 2009 年 11 月 25 日，上午 9 点多的时候，是谁吧 test.dummy 这个表给删了。可以用以下语句定位

mysqlbinlog –start-datetime=’2009-11-25 09:00:00′ –stop-datetime=’2009-11-25 09:00:00′  binlog.xxxx | grep‘dummy’-B 5

会得到如下结果(可见 thread_id 为 5)：

# at 300777

#091124 16:54:00 server id 10  end_log_pos 301396       Query   thread_id=5     exec_time=0     error_code=0

SET TIMESTAMP=1259052840;

drop table test.dummy;

2.2 用户确认

thread_id 确认以后，找到元凶就只是一条 sql 语句的问题了。

select * from accesslog.accesslog where conn_id=5 ;

就能发现是 testuser2@localhost 干的了。

+——+——————————-+——————————-+—————————–+

| id   | time                        | localname              | matchname          |

+——+——————————-+——————————-+—————————–+

|   5  | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@%        |

+——+——————————-+——————————-+—————————–+

3. Q A

Q：使用 init-connect 会影响服务器性能吗？

A：理论上，只会在用户每次连接时往数据库里插入一条记录，不会对数据库产生很大影响。除非连接频率非常高（当然，这个时候需要注意的就是如何进行连接复用和控制，而非是不是要用这种方法的问题了）

Q：access-log 表如何维护?

A: 由于是一个 log 系统，推荐使用 archive 存储引擎，有利于数据厄压缩存放。如果数据库连接数量很大的话，建议一定时间做一次数据导出，然后清表。

Q：表有其他用途么？

A：有！access-log 表当然不只用于审计，当然也可以用于对于数据库连接的情况进行数据分析，例如每日连接数分布图等等，只有想不到没有做不到。

Q：会有遗漏的记录吗？

A：会的，init-connect 是不会在 super 用户登录时执行的。所以 access-log 里不会有数据库超级用户的记录，这也是为什么我们不主张多个超级用户，并且多人使用的原因。

感谢各位的阅读！关于“mysql 如何开启审计功能”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！