共计 3111 个字符,预计需要花费 8 分钟才能阅读完成。
mysql 中怎么开启用户审计功能,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。
背景:
假设这么一个情况,你是某公司 mysql-DBA,某日突然公司中的所有被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查,证据又在哪?
是不是觉得无能为力?
本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于 mysql 访问审计的思路。
概述:
其实 mysql 本身已经提供了详细的 sql 执行记录 ndash;general log(详见上篇 blog),但是开启它有以下几个缺点
无论 sql 有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
sql 并发量很大时,log 的记录会对 io 造成一定的印象,是数据库效率降低。
日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。
本文观点:
使用 init-connect + binlog 的方法进行 mysql 的操作审计。
由于 mysql binlog 记录了所有对数据库长生实际修改的 sql 语句,及其执行时间,和 connection_id 但是却没有记录 connection_id 对应的详细用户信息。
因此本文将通过 init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和 connection_id 信息。
在后期审计进行行为追踪时,根据 binlog 记录的行为及对应的 connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。
正文:
1. 设置 init-connect
1.1 创建用于存放连接日志的数据库和表
create database accesslog;
CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))
1.2 创建用户权限
可用现成的 root 用户用于信息的读取
grant read on accesslog.* to root@localhost identified by lsquo;password rsquo;;
如果存在具有 to *.* 权限的用户需要进行限制。
当前登录用户需要对 accesslog 库至少具有 insert 权限
1.3 设置 init-connect
在 [mysqld] 下添加以下设置:
init-connect= rsquo;insert into accesslog.accesslog values(connection_id(),now(),user(),current_user()); rsquo; mdash; 注意 insert 句子的语法、引号正确,如果错误的话,登录到 mysql 之后,操作 db 会提示你与服务器连接丢失。
Eg. 提示信息
No connection. Trying to reconnect…
Connection id: 220
Current database: *** NONE ***
ERROR 2013 (HY000): Lost connection to MySQL server during query
log-bin——– 如果原来的配置文件已经启用了日志,这里省略
1.4 重启数据库生效
shell service mysqld restart
2. 记录追踪
2.1 thread_id 确认
假设想知道在 2009 年 11 月 25 日,上午 9 点多的时候,是谁吧 test.dummy 这个表给删了。可以用以下语句定位
mysqlbinlog ndash;start-datetime= rsquo;2009-11-25 09:00:00 prime; ndash;stop-datetime= rsquo;2009-11-25 09:00:00 prime; binlog.xxxx | grep lsquo;dummy rsquo;-B 5
会得到如下结果(可见 thread_id 为 5):
# at 300777
#091124 16:54:00 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0
SET TIMESTAMP=1259052840;
drop table test.dummy;
2.2 用户确认
thread_id 确认以后,找到元凶就只是一条 sql 语句的问题了。
select * from accesslog.accesslog where conn_id=5 ;
就能发现是 testuser2@localhost 干的了。
+ mdash; mdash;+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; ndash;+
| id | time | localname | matchname |
+ mdash; mdash;+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; ndash;+
| 5 | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@% |
+ mdash; mdash;+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash;-+ mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; mdash; ndash;+
3. Q A
Q:使用 init-connect 会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)
Q:access-log 表如何维护?
A: 由于是一个 log 系统,推荐使用 archive 存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。
Q:表有其他用途么?
A:有!access-log 表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在 super 用户登录时执行的。所以 access-log 里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因
关于 mysql 中怎么开启用户审计功能问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注丸趣 TV 行业资讯频道了解更多相关知识。