Mysql5.6審計(jì)功能_MySQL

1. 前言

為了安全和操作的可追溯性考慮，越來(lái)越多的公司加入了審計(jì)功能。mysql5.5推出了相關(guān)的審計(jì)功能，到5.6.20功能進(jìn)一步完善，算是勉強(qiáng)可用了，雖然細(xì)粒度方面做的不是太好，但是后續(xù)版本還是可以期待一下的。這里主要介紹下相關(guān)的功能和特性。

2. 開(kāi)啟審計(jì)

2.1 配置文件加載

mysql5.6中的審計(jì)是通過(guò)audit_log插件來(lái)實(shí)現(xiàn)的，我們可以在配置文件中加載該插件來(lái)開(kāi)啟。

如果希望數(shù)據(jù)庫(kù)強(qiáng)制開(kāi)啟審計(jì)功能，如果不開(kāi)啟的話server不啟動(dòng)，或者審計(jì)功能不能進(jìn)行時(shí)server掛住，加入

2.2 加載插件列表

審計(jì)功能的開(kāi)啟還有另外一種方式，就是在命令行中安裝審計(jì)插件。確保在數(shù)據(jù)庫(kù)的插件目錄中存在audit_log.so。[i686數(shù)據(jù)庫(kù)的插件目錄默認(rèn)是/usr/lib/mysql/plugin,中，也可以指定參數(shù)plugin_dir]

3. 參數(shù)介紹

審計(jì)參數(shù)如下：

3.1 audit_log_buffer_size

audit_log_buffer_size ：審計(jì)緩存，建議設(shè)置為4096的倍數(shù)，該參數(shù)只有在audit_log_strategy為ASYNCHRONOUS時(shí)生效。

3.2 audit_log_connection_policy

audit_log_connection_policy：記錄了連接審計(jì)的信息。包含三個(gè)參數(shù)

Value	Description
ALL	Log all connection events
ERRORS	Log only failed connection events
NONE	Do not log connection events

如果設(shè)置了audit_log_policy可能會(huì)被覆蓋。

3.3 audit_log_current_session

audit_log_current_session：標(biāo)志當(dāng)前會(huì)話是否進(jìn)入審計(jì)，是個(gè)只讀參數(shù)，只能通過(guò) audit_log_exclude_accounts和 audit_log_include_accounts來(lái)控制哪兒些進(jìn)入會(huì)話審計(jì)。

3.4 audit_log_exclude_accounts/audit_log_include_accounts

audit_log_exclude_accounts：控制哪兒些用戶可以不進(jìn)入審計(jì)，字符串類型，默認(rèn)可以使用逗號(hào)分隔。
audit_log_include_accounts：控制哪兒些用戶可以進(jìn)入審計(jì)，字符串類型，默認(rèn)可以使用逗號(hào)分隔。
exclude和include同時(shí)只有一個(gè)參數(shù)生效。

3.5 audit_log_file

audit_log_file：可以用于控制審計(jì)日志的名稱和路徑。

3.6 audit_log_flush

audit_log_flush：控制審計(jì)日志的歸檔，只有在audit_log_rotate_on_size=0的時(shí)候生效，在手工重命名審計(jì)日志歸檔后，可以指定audit_log_flush=1來(lái)生成新的審計(jì)日志。

3.7 audit_log_format

audit_log_format：審計(jì)日志的格式，分為OLD和NEW(NEW格式在5.6.14才出現(xiàn))。當(dāng)更改格式的時(shí)候需要進(jìn)行3個(gè)步驟：
1 ：關(guān)閉數(shù)據(jù)庫(kù) 2：重命名當(dāng)前的audit.log文件
3：更改audit_log_format參數(shù)，并重啟mysql，重啟后會(huì)自動(dòng)生成一個(gè)新的audit.log文件
防止NEW格式和OLD格式在同一個(gè)審計(jì)日志中，會(huì)導(dǎo)致審計(jì)功能錯(cuò)誤。 audit_log_policy ：記錄了審計(jì)日志的控制策略：

Value	Description
ALL	Log all events
LOGINS	Log only login events
QUERIES	Log only query events
NONE	Log nothing (disable the audit stream

3.8 audit_log_statement_policy

audit_log_statement_policy：記錄了語(yǔ)句的審計(jì)策略，可能會(huì)被audit_log_policy給覆蓋：

Value	Description
ALL	Log all statement events
ERRORS	Log only failed statement events
NONE	Do not log statement events

3.9 audit_log_rotate_on_size

audit_log_rotate_on_size：審計(jì)日志的文件大小。當(dāng)參數(shù)大于0的時(shí)候，當(dāng)審計(jì)日志超過(guò)限制后，會(huì)自動(dòng)的重命名為加時(shí)間戳后綴的日志文件。同時(shí)創(chuàng)建新的審計(jì)日志。

3.10 audit_log_strategy

audit_log_strategy：審計(jì)日志的刷新策略分為：

Value	Meaning
ASYNCHRONOUS	Log asynchronously, wait for space in output buffer
PERFORMANCE	Log asynchronously, drop request if insufficient space in output buffer
SEMISYNCHRONOUS	Log synchronously, permit caching by operating system
SYNCHRONOUS	Log synchronously, call sync() after each request

4. 日志格式

審計(jì)日志格式是XML的形式，NEW要比OLD的標(biāo)簽詳細(xì)一些。具體的標(biāo)簽信息如下： 實(shí)例：

:文件的根標(biāo)簽為，并以 為結(jié)束標(biāo)簽
:包含一系列的必選標(biāo)簽和可選標(biāo)簽，可選標(biāo)簽是否出現(xiàn)取決于audit record類型。
：必選，例如Query，可能出現(xiàn)的值還包含Audit, Binlog Dump, Change user, Close stmt, Connect Out, Connect, Create DB, Daemon, Debug, Delayed insert, Drop DB, Execute, Fetch, Field List, Init DB, Kill, Long Data, NoAudit, Ping, Prepare, Processlist, Query, Quit, Refresh, Register Slave, Reset stmt, Set option, Shutdown, Sleep, Statistics, Table Dump, Time.
：必選，例如28743_2013-09-18T21:03:24，包含一些列數(shù)字和時(shí)間戳，數(shù)字表示的是記錄數(shù)，每增加一條記錄，數(shù)字加1.
：必選，例如2013-09-17T15:03:49 UTC，包含時(shí)間戳和時(shí)區(qū)兩部分，記錄的是從客戶端接收到的sql執(zhí)行完時(shí)刻的時(shí)間。
以下標(biāo)簽audit record類型決定是否出現(xiàn)
：命令的類型。例如drop_table.
：例如127，代表客戶端連接標(biāo)識(shí)符的無(wú)符號(hào)整型數(shù)字。
：mysql連接的默認(rèn)數(shù)據(jù)庫(kù)名稱，該標(biāo)簽只在 值是Connect或Change user時(shí)出現(xiàn).
：client端的主機(jī)名，該標(biāo)簽只在 值是Connect，Change user或Query時(shí)出現(xiàn)，例如localhost。
：client端的IP地址，該標(biāo)簽只在 值是Connect，Change user或Query時(shí)出現(xiàn)，例如127.0.0.1。
：mysql版本號(hào)，只在 值是Audit時(shí)出現(xiàn)，例如5.7.1-m11-log
：外部用戶，該標(biāo)簽只在 值是Connect，Change user或Query時(shí)出現(xiàn)。
：表示運(yùn)行數(shù)據(jù)庫(kù)的服務(wù)器的操作系統(tǒng)，只在 值是Audit時(shí)出現(xiàn)，例如x86_64-Linux。
：服務(wù)器認(rèn)證的客戶端名稱。該標(biāo)簽只在 值是Connect或Change user時(shí)出現(xiàn)。例如root。
：通過(guò)proxy連接到mysql的用戶。該標(biāo)簽只在 值是Connect或Change user時(shí)出現(xiàn)。
：mysql數(shù)據(jù)庫(kù)服務(wù)器的ID號(hào)，該標(biāo)簽只在 值是Audit或No Audit時(shí)出現(xiàn)。例如1。
：實(shí)際執(zhí)行的SQL語(yǔ)句。該標(biāo)簽只在 值是 Query 或 Execute時(shí)出現(xiàn)。例如DELETE FROM t1。
：mysql數(shù)據(jù)庫(kù)啟動(dòng)選項(xiàng)，該標(biāo)簽只在 值是Audit時(shí)出現(xiàn)，例如/usr/local/mysql/bin/mysqld --port=3306 --log-output=FILE
：代表sql命令的執(zhí)行狀態(tài)，0表示成功，其余表示有錯(cuò)誤。例如1051。
：代表sql命令的執(zhí)行狀態(tài)，0表示成功，1表示有錯(cuò)誤。例如0。
：客戶端連接mysql服務(wù)器的用戶名。例如root[root] @ localhost [127.0.0.1]。
：表示日志文件格式的版本號(hào)。該標(biāo)簽只在 值是Audit時(shí)出現(xiàn)。例如1。

5. 審計(jì)限制

審計(jì)日志默認(rèn)存放在data路徑下，由于XML文件沒(méi)有經(jīng)過(guò)加密，官網(wǎng)建議通過(guò)參數(shù)指定到特殊路徑下，設(shè)置相應(yīng)人員權(quán)限，進(jìn)行安全控制。 此外審計(jì)功能有如下情況不能進(jìn)行記錄： 1）只有top-level（無(wú)變量定義）的語(yǔ)句才能進(jìn)行審計(jì)，存儲(chǔ)程序如存儲(chǔ)過(guò)程，觸發(fā)器，函數(shù)等不審計(jì)； 2）涉及到外部文件的語(yǔ)句無(wú)法進(jìn)行審計(jì)，如load data infile。

聲明：本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com