展开全文

+————————————–+————–+

| Variable_name |Value |

+————————————–+————–+

…

| audit_log_buffer_size | 8388608 |

| audit_log_rotate_on_size |67108864|

| audit_log_strategy | ASYNCHRONOUS |

…

+————————————–+————–+

• audit log buffer_size ，在写入日志文件前，可以放在buffer里的日志大小。
• audit log rotate on size ，日志文件超过64MB后，会生成一个新的，更方便管理。
• audit log strategy ，日志写入策略，采用默认的ASYNCHRONOUS（异步）即可。

企业版的审计功能，可以针对以下不同事件类型进行审计：a. 指定某些账户，或者排除某些账号。b. 针对某些事件类型（event class），例如：connection（连接）、general（常规操作）、table access（表访问）。c. 在上述类型的基础上，还可以指定某些子类型（event subclass），例如：针对连接中的changeuser行为，或者针对表访问的delete行为等。d. 事件日志中包含指定关键字，例如可以记录针对某个关键业务表的删除行为（防止误操作或恶意破坏）。

审计策略规则存储在 mysql.audit_log_filter和 mysql.audit_log_user两个表中，前者存储具体的规则策略，后者存储策略=>账户的对应关系。

[[email protected]] [mysql]>select NAME, FILTER from audit_log_filter;

+——————–+————————–+

| NAME |FILTER |

+——————–+————————–+

| abort_yejr_t1_del | {“filter”: {” class“: … |

| log_yejr_all_query |{ “filter”: { “class”: … |

+——————–+————————–+

[[email protected]] [mysql]>select * from audit_log_user;

+——+——+——————-+

| USER | HOST |FILTERNAME |

+——+——+——————-+

| yejr | % |abort_yejr_t1_del |

+——+——+——————-+

初始化完毕后，还要执行下面的SQL以升级相关的表结构（主要是校验集）：

ALTERTABLEmysql.audit_log_user

DROPFOREIGN KEYaudit_log_user_ibfk_1;

ALTERTABLEmysql.audit_log_filter

CONVERTTOCHARACTERSETutf8mb4 COLLATEutf8mb4_0900_as_ci;

ALTERTABLEmysql.audit_log_user

CONVERTTOCHARACTERSETutf8mb4 COLLATEutf8mb4_0900_as_ci;

ALTERTABLEmysql.audit_log_user

MODIFYCOLUMNUSERVARCHAR( 32);

ALTERTABLEmysql.audit_log_user

ADDFOREIGN KEY(FILTERNAME) REFERENCESmysql.audit_log_filter( NAME);

3. 审计规则使用案例

举几个审计规则的案例。规则1：记录账户 “yejr@’%'” 全部Query请求，除此外不记录其他请求，包括像连接、断开的请求。

# 创建一个新规则，名为 log_yejr_all_query

[[email protected]]> select audit_log_filter_set_filter(‘log_yejr_all_query’, ‘{

“filter”: {

“class”: {

“name”: “general”,

“event”: {

“name”: “status”,

“log”: {

“field”: { “name”: “general_command.str”, “value”: “Query”}

}

}

}

}

}’);

# 将这个新规则指派给账号 yejr@%

[[email protected]]> select audit_log_filter_set_user(‘yejr@%’, ‘log_yejr_all_query’);

规则2：记录 “root@localhost” 账户的全部请求，万一超级账户误操作可以看日志

[ [email protected]]> selectaudit_log_filter_set_filter( ‘log_all’, ‘{ “filter”: { “log”: true } }’) ;

[ [email protected]]> selectaudit_log_filter_set_user( ‘root@localhost’, ‘log_all’) ;

规则3：阻止 “jack@’%'” 删除 “yejr.t1” 表中的数据

[[email protected]]> selectaudit_log_filter_set_filter( ‘abort_yejr_t1_del’, ‘{

“filter”: {

“class”: {

“name”: “table_access”,

“event”: {

“name”: [ “delete”],

“abort”: {

“and”: [

{ “field”: { “name”: “table_database.str”, “value”: “yejr”} },

{ “field”: { “name”: “table_name.str”, “value”: “t1”} }

]

}

}

}

}

}

‘);

[[email protected]]> selectaudit_log_filter_set_user( ‘jack@%’, ‘abort_yejr_t1_del’);

最后，可以手动刷新策略使其立即生效。

[ [email protected]]> selectaudit_log_filter_flush( ) ;

如果执行完后，这个规则还没理解生效，有几种方法：

上面案例中的第三条规则刷新后，如果执行删除请求，就会报告下面的错误提示：

[[email protected]] [yejr]> deletefromt1 where id = 3306;

ERROR 1045( 28000): Statement was aborted byan audit log filter

并且审计日志中会有这样一条记录：

< AUDIT_RECORD>

< TIMESTAMP> 2020-06-02T08:51:25 UTC </ TIMESTAMP>

< RECORD_ID> 14_2020-06-02T08:32:44 </ RECORD_ID>

< NAME> TableDelete </ NAME>

< CONNECTION_ID> 33 </ CONNECTION_ID>

< USER> yejr[yejr] @ localhost [] </ USER>

< OS_LOGIN/>

< HOST> localhost </ HOST>

< IP/>

< COMMAND_CLASS> delete </ COMMAND_CLASS>

< SQLTEXT> delete from t1 where id = 514 </ SQLTEXT>

< DB> yejr </ DB>

< TABLE> t1 </ TABLE>

</ AUDIT_RECORD>

此外，关于审计策略的使用还有以下几点：

a. 规则中可以是包含或排除某些策略。b. 还可以在规则中设定阻止（忽略）某些SQL的执行。c. 可以定义多条规则，并指派给多个账户。d. 还可以定义一些默认的规则。e. 开启AUDIT后，势必会有一定程度的性能损失。

更多复杂的策略可以参考手册内容。对比看了下MariDB的AUDIT插件功能，相对于Oracle MySQL企业版还是简单了些，就不做对比测试了。

最后亲切友情提醒： MySQL企业版下载后只能试用一个月，试用完毕后记得删除卸载哟，土豪的话直接无脑付费即可哟。

参考

• MySQL Enterprise Audit，https://dev.mysql.com/doc/refman/8.0/en/audit-log.html

enjoy MySQL 🙂

下面是自动拼团的二维码直接享受组团价

下面是自动拼团的二维码直接享受组团价