mariadb日志审计功能
1)登录数据库,执行如下命令,查看插件位置
show variables like '%plugin%' ;
2)入到/usr/lib64/mysql/plugin/目录(该目录为步骤(1)的plugin_dir目录),查看是否有server_audit.so文件,如果没有的话,访问http://www.skysql.com/downloads/mariadb-audit-plugin-beta下载后传到/usr/lib64/mysql/plugin/目录。
3)安装插件,有两种方式:
方式一:INSTALL PLUGIN server_audit SONAME 'server_audit.so' ;
方式二:编辑/etc/my.cnf,添加如下内容
[mysqld]
plugin-load=server_audit=server_audit.so
修改完后重启数据库
4)开启日志审计
show variables like '%audit%' ;
set global server_audit_logging=on;
5)查看插件运行状态,命令如下:
show global status like
'%audit%'
;
server_audit_active :ON (表示server_audit插件在运行);
server_audit_current_log : server_audit.log(审计日志路径和日志名);
server_audit_last_error : 错误消息;
server_audit_writes_failed : 因错误没有记录的日志条目数
6)修改审计参数
set global server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL';
set global server_audit_logging=on;
set global server_audit_file_rotate_size=200000000;
set global server_audit_file_rotations=200;
set global server_audit_file_rotate_now=ON;
show variables like '%audit%';
7)查看审计日志
可以看到操作时间、主机、用户、地址、操作类型、操作内容
8)参数说明
详细请参考:
https://mariadb.com/kb/en/mariadb/server_audit-system-variables/
server_audit_output_type:指定日志输出类型,可为SYSLOG或FILE
server_audit_logging:启动或关闭审计
server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记录
server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中
server_audit_file_rotate_size:限制日志文件的大小
server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转
server_audit_file_rotate_now:强制日志文件轮转
server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比server_audit_excl_users优先级高
server_audit_syslog_facility:默认为LOG_USER,指定facility
server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分
server_audit_syslog_info:指定的info字符串将添加到syslog记录
server_audit_syslog_priority:定义记录日志的syslogd priority
server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响
server_audit_mode:标识版本,用于开发测试