mariadb日志审计功能

1)登录数据库,执行如下命令,查看插件位置

  show variables like  '%plugin%' ; 

 mariadb日志审计功能

2)入到/usr/lib64/mysql/plugin/目录(该目录为步骤(1)的plugin_dir目录),查看是否有server_audit.so文件,如果没有的话,访问http://www.skysql.com/downloads/mariadb-audit-plugin-beta下载后传到/usr/lib64/mysql/plugin/目录。

 mariadb日志审计功能

3)安装插件,有两种方式:

  方式一:INSTALL PLUGIN server_audit SONAME 'server_audit.so' ; 

 mariadb日志审计功能

 方式二:编辑/etc/my.cnf,添加如下内容

  [mysqld]

  plugin-load=server_audit=server_audit.so

 修改完后重启数据库

 mariadb日志审计功能

4)开启日志审计

 show variables like  '%audit%' ;

 set global server_audit_logging=on;

 mariadb日志审计功能

5)查看插件运行状态,命令如下:

 show global status like  '%audit%' ;

 mariadb日志审计功能

 server_audit_active :ON (表示server_audit插件在运行);

 server_audit_current_log : server_audit.log(审计日志路径和日志名);

 server_audit_last_error : 错误消息;

 server_audit_writes_failed : 因错误没有记录的日志条目数

6)修改审计参数

 set global server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL';

 set global server_audit_logging=on;

 set global server_audit_file_rotate_size=200000000;

 set global server_audit_file_rotations=200;

 set global server_audit_file_rotate_now=ON;

 show variables like '%audit%';

 mariadb日志审计功能

7)查看审计日志

 可以看到操作时间、主机、用户、地址、操作类型、操作内容

 mariadb日志审计功能

8)参数说明

  详细请参考:

  https://mariadb.com/kb/en/mariadb/server_audit-system-variables/

  server_audit_output_type:指定日志输出类型,可为SYSLOG或FILE

  server_audit_logging:启动或关闭审计

  server_audit_events:指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记录

  server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中

  server_audit_file_rotate_size:限制日志文件的大小

  server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转

  server_audit_file_rotate_now:强制日志文件轮转

  server_audit_incl_users:指定哪些用户的活动将记录,connect将不受此变量影响,该变量比server_audit_excl_users优先级高

  server_audit_syslog_facility:默认为LOG_USER,指定facility

  server_audit_syslog_ident:设置ident,作为每个syslog记录的一部分

  server_audit_syslog_info:指定的info字符串将添加到syslog记录

  server_audit_syslog_priority:定义记录日志的syslogd priority

  server_audit_excl_users:该列表的用户行为将不记录,connect将不受该设置影响

  server_audit_mode:标识版本,用于开发测试

上一篇:Node Express


下一篇:审计aduit解析