Mysql8中的无插件方式审计
需求
在mysql 8中记录用户对数据库表的操作内容,操作时间,客户端源ip地址。
在mysql5.7完美地采用MariaDB的server_audit插件来记录{时间,节点,用户,源IP,事件类型,库,语句,影响行数}等审计,但从mysql8开始已不支持该插件,同类的第三方插件也无法使用。
目前找到的方式:
[ binlog + init-connect ],binlog可以审计到所有数据记录及表结构变更相关的记录,但,不记录连接的信息,要通过额外的手段来记录,比如show full processlist;
是可得出连接信息中的process id,与binlog中的thread id进行关联分析,得到连接的信息{用户名、登录时间、源ip},为了永久记录process id,采用init-connect 方式记录到数据库表中。
1. 创建init-connect用于记录的库和表
mysql> create database mysql_access_log;
mysql> create table mysql_access_log.access_log ( conn_id int(11) default null, `time` timestamp, `localname` varchar(30), `matchname` varchar(30));2. 授权用户于该库的表mysql_access_log.accesslog有insert权限
如用户user_web
mysql> grant insert on `mysql_access_log`.`access_log` to 'user_web'@'%';
3. 配置用户登录日志插入表
my.cnf中 [mysqld] 下添加,并重启mysql生效
init-connect='insert into mysql_access_log.access_log values(connection_id(),now(),user(),current_user());'
4. 特别注意
①init-connect只记录非super权限用户,所以好好管理用户,按情况回收super权限;
②非super权限用户登录都受init-connect影响,未授权对mysql_access_log.access_log有insert权限的用户即无法登录成功!
③当重启mysql后connection_id会存在不按历史续增长而重复出现,所以查记录时注意多个重复的id记录。
5. 开启mysql-binlog日志记录
在my.cnf中 [mysqld] 下添加,并重启mysql生效
# 二进制日志 log-bin=mysql-bin # binlog-do-db=db #仅作用的库 expire_logs_days = 20 max_binlog_size = 300m
6. 从binlogi日志 取thread_id去查用户名和源ip
模拟删除book库books表中的一条记录-----过程省略!
解密mysql-bin查看内容,找到DELETE操作的thread_id号,如这里的8。
[root@localhost data]# mysqlbinlog --base64-output=decode-row -vv mysql-bin.000003 > ./mysql-bin.000003--vv.log [root@localhost data]# tail -n 30 ./mysql-bin.000003--vv.log #200712 18:24:01 server id 1 end_log_pos 1008 CRC32 0x62294de5 Query thread_id=8 exec_time=0 error_code=0 SET TIMESTAMP=1594549441/*!*/; SET @@session.character_set_client=255,@@session.collation_connection=255,@@session.collation_server=255/*!*/; #200712 18:24:01 server id 1 end_log_pos 1079 CRC32 0x0723c708 Table_map: `book`.`books` mapped to number 95 #200712 18:24:01 server id 1 end_log_pos 1187 CRC32 0xc96cc08e Delete_rows: table id 95 flags: STMT_END_F ### DELETE FROM `book`.`books` ### @1=44 /* INT meta=0 nullable=0 is_null=0 */ ### @2='XML 完全探索' /* VARSTRING(765) meta=765 nullable=1 is_null=0 */
根据thread_id号去找init-connect记录表的登录用户和源ip
[root@localhost data]# mysql -u root -p -e "select * from mysql_access_log.access_log where conn_id=8 ;" | conn_id | time | localname | matchname | +---------+---------------------+-------------------------+------------+- | 8 | 2020-07-12 18:23:41 | user_web@192.168.53.119 | user_web@% | +---------+---------------------+-------------------------+------------+-
7. 开启general-log日志记录
[ binlog + init-connect ] 方式,受限于binlog本身记录日志的局限,无法审计一些并不记录在binlog中的内容。
比如无SELECT、Connect;可同时开启mysql的general-log记录,记录执行的所有的语句的信息。
在my.cnf中 [mysqld] 下添加,并重启mysql生效
general-log=1 general_log_file = /opt/mysql/data/general_log_file.log #按你实际路径,注意权限
但存在的不足
- a. 无论所执行语句是否正确执行,都会记录,会导致大量的无用信息,后面的筛选不易操作;
- b. 当server的并发访问非常大时,log的记录会对IO产一定的影响,以致于影响server的性能;
- c. 日志文件很容易快速增长;
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
很多 DBA 同学经常会遇到要从一个数据库实时同步到另一个数据库的问题,同构数据还相对容易,遇上异构数据、表多、数据量大等情况就难以同步,我自己亲测了一种方式,可以非常方便的实现MySQL Kafka实时数据同步,需要的朋友可以参考下2024-01-01
这篇文章主要介绍了MySQL 函数索引及优化方案的相关资料,帮助大家更好的理解和学习MySQL,感兴趣的朋友可以了解下2020-09-09
本篇文章是对mysqldump的delay-insert选项进行了详细的分析介绍,需要的朋友参考下2013-06-06
这篇文章主要介绍了MySQL的异常处理,需要的朋友可以参考下2014-06-06
这篇文章主要介绍了调用MySQL中数据库元数据的方法,文中给出了了PHP和Perl脚本下的调用示例,需要的朋友可以参考下2015-05-05
Navicat Premium远程连接MySQL数据库的方法
这篇文章主要介绍了Navicat Premium远程连接MySQL数据库的方法,本文分步骤通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-12-12
这篇文章主要介绍了MySQL的逻辑架构及工作全流程,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-03-03
使用ZIP包安装MySQL可实现对安装路径、配置文件和数据目录的精细控制,适用于需要多实例部署或高度定制化场景,这篇文章主要介绍了MySQL-mysql zip安装包配置的相关资料,需要的朋友可以参考下2026-02-02
浅谈Mysql insert on duplicate key 死锁问
本文介绍了在并发场景下的 insert on duplicate key update sql 出现的死锁,经过分析发现这种sql确实比较容易造成死锁,这篇文章就从分析死锁展开,到最终如何解决这样的问题 分享相应的思路,感兴趣的可以了解一下2022-05-05
本文通过实例向大家介绍了MYSQL子查询和嵌套查询优化的相关内容,附代码示例,具有一定参考价值。希望对大家使用MySQL有所帮助。2017-10-10
最新评论