数据库审计
Amazon RDS 支持在 MySQL 数据库实例上使用 MariaDB 审核插件。MariaDB 审核插件可记录数据库活动,如用户登录数据库、针对数据库运行查询等。数据库活动记录存储在日志文件中。
目前,仅以下 Amazon RDS MySQL 版本支持 MariaDB 审核插件:
-
所有 5.6 版本
-
MySQL 5.7.16 和更高的 5.7 版本
审核插件选项设置
Amazon RDS 支持 MariaDB 审核插件选项的以下设置。
选项设置 |
有效值 |
默认值 |
描述 |
SERVER_AUDIT_FILE_PATH |
/rdsdbdata/log/audit/ |
/rdsdbdata/log/audit/ |
日志文件的位置。日志文件包含 SERVER_AUDIT_EVENTS 中指定的活动记录。有关更多信息,请参阅 查看和列出数据库日志文件 和 MySQL 数据库日志文件。 |
SERVER_AUDIT_FILE_ROTATE_SIZE |
1–1000000000 |
1000000 |
达到该字节大小时,会导致文件轮换。有关更多信息,请参阅 日志文件大小。 |
SERVER_AUDIT_FILE_ROTATIONS |
0–100 |
9 |
|
SERVER_AUDIT_EVENTS |
CONNECT、QUERY |
CONNECT、QUERY |
要在日志中记录的活动类型。安装 MariaDB 审核插件可自行登录。 CONNECT:记录成功和失败的数据库连接以及数据库断开连接。 QUERY:记录针对数据库运行的所有查询文本。 TABLE:记录针对数据库运行查询时受查询影响的表。 对于 MariaDB,支持 CONNECT、QUERY 和 TABLE。 对于 MySQL,支持 CONNECT 和 QUERY。 |
SERVER_AUDIT_INCL_USERS |
多个逗号分隔值 |
无 |
仅包括指定用户的活动。默认情况下,会记录所有用户的活动。如果 SERVER_AUDIT_EXCL_USERS 和 SERVER_AUDIT_INCL_USERS 中均指定了某位用户,则会记录该用户的活动。 |
SERVER_AUDIT_EXCL_USERS |
多个逗号分隔值 |
无 |
排除指定用户的活动。默认情况下,会记录所有用户的活动。如果 SERVER_AUDIT_EXCL_USERS 和 SERVER_AUDIT_INCL_USERS 中均指定了某位用户,则会记录该用户的活动。 rdsadmin 用户会每秒查询一次数据库,以检查数据库的运行状况。根据您的其他设置,此活动可能导致您的日志文件大小非常快速地增长。如果您不需要记录此活动,请将 rdsadmin 用户添加到 SERVER_AUDIT_EXCL_USERS 列表。 注意 会始终为所有用户记录 CONNECT 活动,即使是该选项设置指定的用户。 |
SERVER_AUDIT_LOGGING |
ON |
ON |
日志记录处于活动状态。唯一有效的值为 ON。Amazon RDS 不支持停用日志记录。如果您要停用日志记录,请删除 MariaDB 审核插件。有关更多信息,请参阅 删除 MariaDB 审核插件。 |
2. 开启审计功能后,我们就可以在console中看到audit log了。
3. 下面,我们看一下,audit log到底记录了什么信息。
3.1. 我前台操作的记录如下:
3.1.1 使用管理员用户,登录数据库
3.1.2 创建用户test2,并赋予一些全新
3.1.3 使用新建的用户连接数据库
3.1.4 执行数据库切换,创建表等命令
3.2 audit log如下,可以看到以下几点信息
3.2.1. 谁访问和执行的,来至于哪里?
3.2.2. 执行的全部操作信息记录
4. 当然审计日志会记录数据库的全部操作,自然也就有一些我们不需要的信息参杂其中。例如RDS后台操作用户rdsadmin的全部操作记录。
突然意识到,audit log,也可以用来研究AWS RDS后面实现的一些自动化运维的原理。
5. 但是真的rdsadmin的操作信息,是不需要做审计的。我们可以考虑不记录rdsadmin用户的审计信息,只需修改“选项组”的参数SERVER_AUDIT_EXCL_USERS=rdsadmin即可
5.1 关闭之后的audit log输出:
---正常情况下,rdsadmin 用户会每秒查询一次数据库,以检查数据库的运行状况。不记录rdsadmin的信息之后,世界立即清净了许多
6. 针对数据库的审计,加密等操作,在增加安全性的同时,也要付出性能损耗的成本。
下文是AWS官方blog,其中讨论到RDS Mysql在开启审计之后,还是有比较大的性能损耗的。
7. 开启audit之后,会有大量的audit log产生,但是RDS的日志会滚动删除,不能长久的保存。如果为了长时间审计的需求,将audit保存下来,还可以做更多的统计和分析。
通过RDS的Modify页面,将audit log输出到cloudwatch。
至此,RDS Mysql数据库审计功能如何使用已经了解了。后续,我会继续分享,如何利用audit作为数据源。
通过数据处理,汇总到数据集/湖 中,以进一步分析使用。
选项设置 |
有效值 |
默认值 |
描述 |
SERVER_AUDIT_FILE_PATH |
/rdsdbdata/log/audit/ |
/rdsdbdata/log/audit/ |
日志文件的位置。日志文件包含 SERVER_AUDIT_EVENTS 中指定的活动记录。有关更多信息,请参阅 查看和列出数据库日志文件 和 MySQL 数据库日志文件。 |
SERVER_AUDIT_FILE_ROTATE_SIZE |
1–1000000000 |
1000000 |
达到该字节大小时,会导致文件轮换。有关更多信息,请参阅 日志文件大小。 |
SERVER_AUDIT_FILE_ROTATIONS |
0–100 |
9 |
|
SERVER_AUDIT_EVENTS |
CONNECT、QUERY |
CONNECT、QUERY |
要在日志中记录的活动类型。安装 MariaDB 审核插件可自行登录。 CONNECT:记录成功和失败的数据库连接以及数据库断开连接。 QUERY:记录针对数据库运行的所有查询文本。 TABLE:记录针对数据库运行查询时受查询影响的表。 对于 MariaDB,支持 CONNECT、QUERY 和 TABLE。 对于 MySQL,支持 CONNECT 和 QUERY。 |
SERVER_AUDIT_INCL_USERS |
多个逗号分隔值 |
无 |
仅包括指定用户的活动。默认情况下,会记录所有用户的活动。如果 SERVER_AUDIT_EXCL_USERS 和 SERVER_AUDIT_INCL_USERS 中均指定了某位用户,则会记录该用户的活动。 |
SERVER_AUDIT_EXCL_USERS |
多个逗号分隔值 |
无 |
排除指定用户的活动。默认情况下,会记录所有用户的活动。如果 SERVER_AUDIT_EXCL_USERS 和 SERVER_AUDIT_INCL_USERS 中均指定了某位用户,则会记录该用户的活动。 rdsadmin 用户会每秒查询一次数据库,以检查数据库的运行状况。根据您的其他设置,此活动可能导致您的日志文件大小非常快速地增长。如果您不需要记录此活动,请将 rdsadmin 用户添加到 SERVER_AUDIT_EXCL_USERS 列表。 注意 会始终为所有用户记录 CONNECT 活动,即使是该选项设置指定的用户。 |
SERVER_AUDIT_LOGGING |
ON |
ON |
日志记录处于活动状态。唯一有效的值为 ON。Amazon RDS 不支持停用日志记录。如果您要停用日志记录,请删除 MariaDB 审核插件。有关更多信息,请参阅 删除 MariaDB 审核插件。 |