利用MariaDB Auditing Plugin实现社区版MySQL的审计功能

最新推荐文章于 2025-06-10 11:12:48 发布
最新推荐文章于 2025-06-10 11:12:48 发布
阅读量1.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: MySQL 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leonpenn/article/details/77980503
本文介绍了如何使用MariaDB Audit Plugin为MySQL实现审计功能。通过详细步骤和配置示例,展示了如何控制不同类型的审计事件记录,包括连接、查询和表操作等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于MySQL的审计功能,有三个主流的选项:

1、MySQL Enterprise Audit Plugin:仅供MySQL 企业版使用的插件,收费

2、Percona Audit Log Plugin:仅供Percona Server使用的插件,免费

3、MariaDB Audit Plugin:支持MariaDB、MySQL、Percona Server,建议使用1.2以上版本


下面以MariaDB Audit Plugin为例,实现官方社区版MySQL的审计功能

首先需要下载MariaDB的完整安装包,单独的plugin官网已不再提供

将 mariadb-10.2.8-linux-glibc_214-x86_64/lib/plugin/server_audit.so 复制到MySQL的plugin目录下,并修改权限,与其他plugin权限一致

# chown root:mysql server_audit.so 
# chmod 755 server_audit.so


在登录MySQL安装插件前,先确认系统glibc版本是否匹配编译server_audit.so的glibc版本

[root@237_21 plugin]# strings /lib64/libc.so.6 |grep GLIBC_
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE
而MariaDB多使用2.14版glibc进行编译,以下简单记录下glibc的升级过程
# wget -c http://ftp.gnu.org/gnu/libc/glibc-2.14.tar.gz
# tar zxvf glibc-2.14.tar.gz
# cd glibc-2.14
# mkdir build
# cd build
# ../configure --prefix=/usr --disable-profile --enable-add-ons --with-headers=/usr/include --with-binutils=/usr/bin
# make && make install
# LD_PRELOAD=/lib/libc-2.12.so yum -y install glibc-devel
# strings libc.so | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_2.13
GLIBC_2.14
GLIBC_PRIVATE


安装插件
mysql> install plugin server_audit soname 'server_audit.so';
Query OK, 0 rows affected (0.01 sec)

mysql> show variables like '%server_audit%';
+-------------------------------+-----------------------+
| Variable_name                 | Value                 |
+-------------------------------+-----------------------+
| server_audit_events           |                       |
| server_audit_excl_users       |                       |
| server_audit_file_path        | server_audit.log      |
| server_audit_file_rotate_now  | OFF                   |
| server_audit_file_rotate_size | 1000000               |
| server_audit_file_rotations   | 9                     |
| server_audit_incl_users       |                       |
| server_audit_loc_info         |                       |
| server_audit_logging          | OFF                   |
| server_audit_mode             | 1                     |
| server_audit_output_type      | file                  |
| server_audit_query_log_limit  | 1024                  |
| server_audit_syslog_facility  | LOG_USER              |
| server_audit_syslog_ident     | mysql-server_auditing |
| server_audit_syslog_info      |                       |
| server_audit_syslog_priority  | LOG_INFO              |
+-------------------------------+-----------------------+
16 rows in set (0.01 sec)

编辑my.cnf,添加审计规则,关键参数如下:

server_audit_logging:审计功能的开关

server_audit_file_path:审计日志路径,默认存于数据目录下

server_audit_events:指定记录到日志的event类型,Type如下:

CONNECT、QUERY、TABLE、(1.2版本起新增QUERY_DDL,QUERY_DML,1.3版本起新增QUERY_DCL)

server_audit_incl_users:该列表中用户的行为将记录日志,但Type:CONNECT的event仍然会记录不受该参数影响。优先级较server_audit_excl_users高(同一个用户在incl和excl中都存在,以incl为准)

server_audit_excl_users:该列表中用户的行为将不记录日志,但Type:CONNECT的event仍然会记录不受该参数影响

以下为日志轮转(循环复用)设置,需设置server_audit_output_type:FILE-mode

server_audit_file_routations:轮转日志总数,当设为0表示审计日志不轮转。默认值为9

server_audit_file_rotate_size:限制单个轮转审计日志大小,超出该限值后自动轮转

server_audit_file_rotate_now:强制轮转一次

注:server_audit_output_type:SYSLOG-mode相关参数使用较少,不作介绍,参数信息可见文末参考文档


对上述参数简单测试一下:user1、user2、user3(不存在的用户)分别登录数据库,执行QUERY(show databases;),退出数据库

1、my.cnf配置:用户user1的行为记录审计日志,用户user2的行为不记录审计日志:

plugin_dir=/usr/local/mysql3306/lib/plugin
plugin_load = "rpl_semi_sync_master=semisync_master.so;rpl_semi_sync_slave=semisync_slave.so;server_audit=server_audit.so"
########audit plugin########
server_audit_logging = 1
server_audit_events = 'CONNECT,QUERY,TABLE'
server_audit_incl_users = 'user1'
server_audit_excl_users = 'user2'

使用user1、user2分别进行登录操作,查看server_audit.log输出情况:

20170915 10:00:53,237_21,user1,127.0.0.1,4,0,CONNECT,,,0
20170915 10:00:53,237_21,user1,127.0.0.1,4,74,QUERY,,'select @@version_comment limit 1',0
20170915 10:01:03,237_21,user1,127.0.0.1,4,75,QUERY,,'show databases',0
20170915 10:01:21,237_21,user1,127.0.0.1,4,0,DISCONNECT,,,0
20170915 10:01:26,237_21,user2,127.0.0.1,5,0,CONNECT,,,0
20170915 10:01:26,237_21,user2,127.0.0.1,5,77,QUERY,,'select @@version_comment limit 1',0
20170915 10:01:31,237_21,user2,127.0.0.1,5,78,QUERY,,'show databases',0
20170915 10:01:33,237_21,user2,127.0.0.1,5,0,DISCONNECT,,,0
20170915 10:01:42,237_21,user3,127.0.0.1,6,0,FAILED_CONNECT,,,1045
20170915 10:01:42,237_21,user3,127.0.0.1,6,0,DISCONNECT,,,0

user1、user2除了CONNECT信息之外,还记录QUERY信息,excl_参数设置无效。


2、my.cnf配置:用户user2的行为设置为不记录审计日志,server_audit_incl_users不作设置:

server_audit_logging = 1
server_audit_events = 'CONNECT,QUERY,TABLE'
#server_audit_incl_users = 'user1'
server_audit_excl_users = 'user2'

使用user1、user2分别进行登录操作,查看server_audit.log输出情况:

20170915 10:47:59,237_21,user1,127.0.0.1,1,0,CONNECT,,,0
20170915 10:47:59,237_21,user1,127.0.0.1,1,1,QUERY,,'select @@version_comment limit 1',0
20170915 10:48:14,237_21,user1,127.0.0.1,1,2,QUERY,,'show databases',0
20170915 10:48:16,237_21,user1,127.0.0.1,1,0,DISCONNECT,,,0
20170915 10:48:34,237_21,user2,127.0.0.1,2,0,CONNECT,,,0
20170915 10:48:40,237_21,user2,127.0.0.1,2,0,DISCONNECT,,,0
20170915 10:48:46,237_21,user3,127.0.0.1,3,0,FAILED_CONNECT,,,1045
20170915 10:48:46,237_21,user3,127.0.0.1,3,0,DISCONNECT,,,0
user1记录CONNECT、QUERY信息,user2仅记录CONNECT,user3登录失败的信息也被记录


3、user1记录审计日志,excl_参数不作设置

server_audit_logging = 1
server_audit_events = 'CONNECT,QUERY,TABLE'
server_audit_incl_users = 'user1'
#server_audit_excl_users = 'user2'
使用user1、user2分别进行登录操作,查看server_audit.log输出情况:

20170915 10:54:24,237_21,user1,127.0.0.1,1,0,CONNECT,,,0
20170915 10:54:24,237_21,user1,127.0.0.1,1,1,QUERY,,'select @@version_comment limit 1',0
20170915 10:54:29,237_21,user1,127.0.0.1,1,2,QUERY,,'show databases',0
20170915 10:54:31,237_21,user1,127.0.0.1,1,0,DISCONNECT,,,0
20170915 10:54:36,237_21,user2,127.0.0.1,2,0,CONNECT,,,0
20170915 10:54:44,237_21,user2,127.0.0.1,2,0,DISCONNECT,,,0
20170915 10:54:47,237_21,user3,127.0.0.1,3,0,FAILED_CONNECT,,,1045
20170915 10:54:47,237_21,user3,127.0.0.1,3,0,DISCONNECT,,,0

user1记录CONNECT、QUERY信息,user2仅记录CONNECT,user3登录失败的信息也被记录


过滤参数效果总结如下:
1、若同时设置server_audit_incl_users和server_audit_excl_users,所有用户的审计都会被记录
2、若仅设置:server_audit_excl_users时,excl_users将仅记录CONNECT日志,其余用户记录server_audit_events规定的日志类型
3、若仅设置:server_audit_incl_users时,incl_users将记录server_audit_events规定的日志类型,其余用户仅记录CONNECT日志
4、不存在的用户登录数据库时也会记录CONNECT日志


参考文档:

1、MySQL Auditing with MariaDB Auditing Plugin

https://www.percona.com/blog/2016/02/15/mysql-mariadb-with-mariadb-auditing-plugin/

2、MariaDB Audit Plugin - Log Settings

https://mariadb.com/kb/en/library/mariadb-audit-plugin-log-settings/

3、MariaDB Audit Plugin - System Variables

https://mariadb.com/kb/en/library/mariadb-audit-plugin-system-variables/



mysql 5.6 安装mariadb审计插件
m0_61069946的博客
05-14 1639
除了商业版的审计插件外,常见的还有三类审计插件Percona Audit Log PluginMariaDB Audit Plugin、McAfee MySQL Audit Plugin。这几个插件功能上大同小异,只是展示的内容和格式略有不同。我们以MariaDB Audit Plugin为例,给大家介绍如何采用插件的方式实现Mysql数据的审计
Mysql社区版配置audit审计组件
DBA小站
07-29 721
环境:mysql版本 5.7.29 1、下载mariadb源码版本 https://mirrors.tuna.tsinghua.edu.cn/mariadb/mariadb-10.5.7/bintar-linux-x86_64/mariadb-10.5.7-linux-x86_64.tar.gz 2、上传解压 tar -zxvf mariadb-10.5.7-linux-x86_64.tar.gz 3、mysql确认plugin路径 mysql> show global variab
mysql审计插件--MariaDB Audit Plugin
yimenglin的博客
06-27 2401
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/crj_9527/article/details/50789816 1.下载地址:https://mariadb.com/my_portal/download/audit_plugin先要注册 2...
MySQL社区版实现审计功能:从插件配置到日志监控全解析
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
06-10 1035
本文探讨了MySQL社区版缺乏原生审计功能的问题,并提出使用MariaDB的server_audit插件作为解决方案。介绍了版本兼容性关键点(MySQL 5.7.34及以下版本适用),详细说明了插件安装步骤和配置参数优化建议,包括日志路径设置、文件轮转策略等。文章还展示了审计日志的格式样例,为需要合规审计的企业提供了可行方案。最后强调在生产环境部署前必须进行完整测试,确保插件兼容性和稳定性。
MariaDB Audit Plugin 1.2
heizistudio的专栏
08-13 2292
Auditing regulations are used by many enterprises to ensure they comply with laws and industry standards. Such regulations often require processes for tracking user access to data in databases. To
MariaDB Audit Plugin 1.3
云原生devsecops
05-29 2230
MariaDB Audit Plugin
MySQL审计功能(插件)
qq_38215412的博客
09-12 4641
MySQL审计 审计功能MySQL数据库的一个弱项 Oracle公司在5.5的企业版增加了mysql-audit plugin,问题是该插件类似于general-log,而且仅仅存在于企业版! 因此使用审计功能需通过加载第三方插件(plugin),当前的插件有以下几种: ①Percona Audit Log Plugin Audit Log是Per
数据库(mysql)审计二(自带审计功能
fangyingquano的专栏
08-23 1846
对于失败的连接,日志包含错误代码,可以定义一个用户列表,其中的事件可以被排除或包括在跟踪他们的数据库活动中。由MariaDB审计插件记录的事件通常被分组为不同的类型:连接、查询和表事件,若要基于这些类型的事件进行日志记录,请将变量SERVER_AUDIT_Events设置为连接、查询或表。server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中。
mysql添加审计功能
w1346561235的博客
12-03 856
mysql自身提供了审计功能,但是只有企业版可用。社区版的可以使用mariadb或者percona提供的审计插件来支持审计功能。 使用的时候,要注意mariadb或者percona与mysql的版本对应关系。 对于mariadb,可以看这里https://mariadb.com/kb/en/system-variable-differences-between-mariadb-and-mysql/其中的截图如下。 对这张图,我个人是这样理解的:既然可以两两比较,那么就说明有兼容的基础,在此基础上做进一步.
Linux CentOS Mysql5.7版本开启审计实际操作
qq_37369161的博客
05-24 850
为啥加审计,我是因为等保,具体审计是啥,自己百度,既然搜到这个文章或者看到这个文章,应该是知道什么是审计,这里不多解释了,作为一个咸鱼后端,踩了一些坑,在此整理出我的实际操作以及一些坑,望能稍微帮助后人,废话不多说,上才艺!
mysql对数据库的审计_【MySQL】数据库审计--MariaDB Audit Plugin
weixin_36327991的博客
01-19 340
[root@wallet01~]#cd/usr/lib64/mysql/plugin[root@wallet01plugin]#chmoda+xserver_audit.so[root@wallet01plugin]#ls-lserver_audit.so-rwxr-xr-x1rootroot236710Aug2809:12server_audit.so[ro...
mysql审计写入表_MariaDB Audit Plugin实现MySQL审计
weixin_28760171的博客
01-19 394
通过对MySQL进行审计,可以记录谁连接到服务器,使用了什么sql语句,访问了哪些表等。可以将审计内容存储到日志文件或者发送到本地的syslogd守护进程,以syslog的形式输出日志。1、mariadb审计插件能工作在mariadbmysql和percona server。插件为server_audit.so(windows为server_audit.dll)。该插件需要被拷贝到mysql的...
使用MariaDB实现MySQL数据库审计
平兄的笔记
10-24 1559
使用数据库日志审计功能可以记录数据库所有操作,方便问题回溯、责任厘清。MySQL商业版自带日志审计功能社区版有很多方案,本例使用MariaDB插件实现。本例在Windows上实现,Linux原理一致。
mysql开启审计日志_MariaDB开启日志审计功能
weixin_31714033的博客
02-02 1298
对于MySQL、Percona、MariaDB三家都有自己的审计插件,但是MySQL审计插件是只有企业版才有的,同时也有很多第三方的的MySQL审计插件,而Percona和MariaDB都是GPL的审计插件。MariaDB审计插件,默认是没有安装的的,安装该插件并开启审计功能后,可以将对数据库的各种操作记录保存下来,以便追踪操作来源及具体操作。MariaDB版本:Server version...
mysql 审计 linux 开启_mysql审计开启--两种方法
weixin_39897505的博客
01-19 1094
第一种方法:安装插件的方式这里使用的是macfee的mysql audit插件,虽然日志信息比较大,对性能影响大,但是如果想要开启审计,那也应该忍受了。介绍几个参考地址:[root@iZ2zeh44pi6rlahxj7s9azZ data]# lsaudit-plugin-mysql-5.7-1.1.4-725-linux-x86_64.zip my3307 zzz[root@iZ2zeh44...
Linux MySQL5.7数据库已开启安全审计功能审计范围已覆盖每个用户,但未对重要用户行为进行审计。开启慢查询日志
xtaypyvi123456的博客
06-14 1987
数据库已开启安全审计功能审计范围已覆盖每个用户,但未对重要用户行为进行审计
Linux配置数据库审计
QIJIA_YANG的专栏
12-13 166
Linux配置数据库审计的方法如下:
【实战】mariadb审计
yangzhawen
12-08 2532
mariadb审计功能的使用
MariaDB 5.5.56版本Linux安装包及MySQL审计日志功能介绍
MariaDB旨在保持与MySQL的二进制兼容性,并在此基础上提供了额外的功能和改进,旨在提供更快、更灵活、更可靠的服务。 知识点二:版本号解读 给定的文件名中包含了版本号"5.5.56",这表明了该MariaDB版本的主要、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值