MariaDB开启日志审计功能
对于MySQL、Percona、MariaDB三家都有自己的审计插件,但是MySQL的审计插件是只有企业版才有的,同时也有很多第三方的的MySQL的审计插件,而Percona和MariaDB都是GPL的审计插件。MariaDB的审计插件,默认是没有安装的的,安装该插件并开启审计功能后,可以将对数据库的各种操作记录保存下来,以便追踪操作来源及具体操作。
MariaDB版本:
Server version: 10.4.19-MariaDB (该版本自带了server_audit插件)
一、MariaDB审计日志写到文件
1、安装server_audit插件
查看插件存放的目录,登陆进MariaDB,执行:
MariaDB [(none)]> show variables like '%plugin%';
ls /usr/lib64/mysql/plugin/
查看有没有一个叫做server_audit.so的文件,如果没有的话,到http://www.skysql.com/downloads/mariadb-audit-plugin-beta去下载放到目录下即可。
2、安装插件
MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'server_audit.so';
或者编辑数据库的配置文件my.cnf,添加如下内容:
[mysqld]
plugin-load=server_audit.so
安装后,可登陆客户端查看audit相关的全局变量:
MariaDB [(none)]> show global variables like '%audit%';
3、打开日志的审计功能
从上图可以看到,现在插件已将安装上了,但是还没有开启,可通过以下命令进行开启:
MariaDB [(none)]> set global server_audit_logging=1;
通过命令开启该功能后,一旦数据库服务重启后便会失效,可以通过在配置文件添加避免这个问题:
[mysqld]
server_audit_logging=on
开启后,查看audit插件的运行状态:
MariaDB [(none)]> show global status like '%audit%';
各参数含义如下:
server_audit_active :ON (表示server_audit插件在运行);
server_audit_current_log : server_audit.log(审计日志路径和日志名);
server_audit_last_error : 错误消息;
server_audit_writes_failed : 因错误没有记录的日志条目数;
可对audit相关的变量通过命令行进行设置,也可以直接在配置文件my.cnf中进行配置,常用变量设置如下:
set GLOBAL server_audit_file_path='/data/logs/mariadb/server_audit.log'; --日志保存路径
set GLOBAL server_audit_events='connect,query,table'; --日志记录的操作
set GLOBAL server_audit_events='query_ddl,query_dml'; --不记录select查询操作,只记录增删改、DDL操作
set GLOBAL server_audit_incl_users ='test,user,root'; --审计的用户对象,不设置则针对所有用户
set GLOBAL server_audit_file_rotate_size=1073741824; --单个日志大小(单位:字节),文件到达该大小后,会自动切换
set GLOBAL server_audit_file_rotations=9; --日志保存数量
为了防止server_audit插件被卸载,可以在在配置文件my.cnf中添加如下选项:
[mysqld]
server_audit=FORCE_PLUS_PERMANENT
然后重启数据库后生效。
4、卸载插件
在MySQL客户端中执行如下命令:
MariaDB [(none)]> UNINSTALL PLUGIN server_audit;
验证卸载是否完成:
MariaDB [(none)]> show variables like '%audit%';
Empty set (0.00 sec)
卸载的步骤:
1、如果在数据库的配置文件中配置了server_audit相关的选项,需要先在配置文件里把这项配置项注释掉,再重启mariadb。
2、然后在客户端执行UNINSTALL PLUGIN server_audit;才能卸载掉这个插件。
3、卸载插件完成后,执行show variables like '%audit%';仍然能看到这个插件的可用参数,再次重启mariadb才行。
二、MariaDB审计日志写到syslog
将MariaDB审计日志写到syslog的方法,与写入到日志文件中的方法基本相同,就是多了一条显式的指定日志的存储方式而已。
改变审计日志输入类型,即更改参数server_audit_output_type的值,命令如下:
MariaDB [(none)]> SET GLOBAL server_audit_output_type=SYSLOG;
需要重启rsyslog服务后生效,命令如下:
# /etc/init.d/rsyslog restart
通过MySQL客户端连接到数据库后,执行一些数据库、表的操作,可以在syslog里看到操作的记录:
# tailf /var/log/messages
默认的审计日志都是记录在/var/log/message文件里,不方便我们查看,可以修改下系统日志的配置文件:
# vim /etc/rsyslog.conf
在*.info;mail.none;authpriv.none;cron.none;local4.none /var/log/messages的下面加一行:
if $programname =='mysql-server_auditing' then /data/logs/mariadb/mariadb_audit_log
然后在重启rsyslog服务:
# /etc/init.d/rsyslog restart
这样的话,就能将审计的日志输出到独立的文件/data/logs/mariadb/mariadb_audit_log里面。
(注意:审计日志在/var/log/messages写一遍,在/data/logs/mariadb/mariadb_audit_log再写一遍,不是单单只写到/var/log/mariadb_audit_log里面的)
通过MySQL客户端连接到数据库后,执行一些数据库、表的操作,可以在指定的日志文件里看到操作的记录:
# tailf /data/logs/mariadb/mariadb_audit_log
补充:MariaDB Audit Plugin和init-connect+binlog比较
(1)、init-connect+binlog方案要求用户对日志表至少有insert权限,每添加一个新用户都要进行授权,显得比较麻烦;而MariaDB Audit Plugin默认会对所有用户进行行为审计,不需要对新添加的用户进行授权,MariaDB Audit Plugin还可以指定对哪些用户进行行为审计,哪些用户不需要进行行为审计;
(2)、init-connect+binlog方案无法对具有super权限的用户进行行为审计,而MariaDB Audit Plugin可以对所有用户进行行为审计,包括具有super权限的用户;
(3)、init-connect+binlog方案需要修改配置文件之后重启MySQL生效,而MariaDB Audit Plugin可以在线进行配置,无需重启服务生效;
(4)、init-connect+binlog方案审计信息输出到binlog中,MariaDB Audit Plugin可以选择将审计信息输出到syslog或者自定义的路径。
来源:https://www.jianshu.com/p/57368ff55072
MariaDB开启日志审计功能的更多相关文章
- 开启mysql审计功能
下面方式是在线开启,重启后会失效: 1.mysql社区版没有审计插件,先获取server_audit.so文件,我是先在一台测试服务器上安装了一个mariadb数据库,然后搜索find / -name ...
- [置顶] 使用struts拦截器+注解实现网络安全要求中的日志审计功能
J2EE项目中出于安全的角度考虑,用户行为审计日志功能必不可少,通过本demo可以实现如下功能: 1.项目中记录审计日志的方法. 2.struts拦截器的基本配置和使用方法. 3.struts拦截器中 ...
- 利用SHELL的PROMPT_COMMAND添加日志审计功能,实时记录任何用户的操作到日志文件中
利用 PROMPT_COMMAND 实现命令审计功能:记录什么用户,在什么时间,做了什么操作,然后将查到的信息记录到一个文件里. 具体操作: 将以下内容追加到/etc/profile: ####### ...
- 日志审计功能-appent多个日志
public static void main(String[] args) { Jedis jedis = new Jedis("127.0.0.1"); jedis.setnx ...
- mysql开启日志查询功能
set global general_log_file='/tmp/general.lg';set global general_log=on; show global variables like ...
- 开启spark日志聚集功能
spark监控应用方式: 1)在运行过程中可以通过web Ui:4040端口进行监控 2)任务运行完成想要监控spark,需要启动日志聚集功能 开启日志聚集功能方法: 编辑conf/spark-env ...
- Linux系统实战项目——sudo日志审计
Linux系统实战项目——sudo日志审计 由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维.开发等各个人员技术水平.操作习惯都不相同,也会因一时失误造成误操作,从而 ...
- 【原创】大叔经验分享(47)yarn开启日志归集
yarn开启日志归集功能,除了配置之外 yarn.log-aggregation-enable=true 还要检查/tmp/logs目录是否存在以及权限,尤其是在开启kerberos之后,有些目录可能 ...
- 日志审计系统、事件日志审计、syslog审计
日志审计系统.事件日志审计.syslog审计 任何IT机构中的Windows机器每天都会生成巨量日志数据.这些日志包含可帮助您的有用信息: · 获取位于各个Windows事件日志严重性级别的所有网络活 ...
随机推荐
- 快速搭建springboot工程
一.创建SpringBoot的三种方式 在线创建: https://start.spring.io 在IntelliJ IDEA中选择Spring Initializr创建:或者在Eclipse中选择 ...
- 学多少年才算“精通Java”?
我从毕业做程序员就开始用 Java,到现在已经工作快 20 年了.减去我做手游用 C++.Lua 的几年,再减去后来转管理写代码少的时间,我真正写 Java 代码的时间至少也在 10 年以上. 如果你 ...
- Solution -「LOCAL」逃生
\(\mathcal{Description}\) 有 \(n\) 个人掉进了深度为 \(h\) 的坑里,第 \(i\) 个人的肩高为 \(a_i\),臂长为 \(b_i\).设当前坑里人的集合为 ...
- 如何强制关闭Win10自动更新
今天我向往常一样打开了电脑,在工作时突然感觉CPU风扇嗡嗡的响电脑开始变得极慢内存也开始上涨,我意识到不妙了,Windows10 又开始在后台给我搞事情了,由于我的电脑安装有开机还原功能,所以每次开机 ...
- 微服务从代码到k8s部署应有尽有系列(四、用户中心)
我们用一个系列来讲解从需求到上线.从代码到k8s部署.从日志到监控等各个方面的微服务完整实践. 整个项目使用了go-zero开发的微服务,基本包含了go-zero以及相关go-zero作者开发的一些中 ...
- apache缺少模块解决方法
找到一台老古董机器 [root@resource conf]# cat /etc/redhat-release CentOS release 5.6 (Final) [root@resource co ...
- Django创建第一个应用App(3)
创建一个投票的应用app.现在已经创建好了一个项目,就是有了一个框架,有了框架之后就可以往框架里面填写一些自己的需求,就是放一些功能在里面即可.一个项目可以包含多个应用app,一个应用app可以属于多 ...
- django模型01
1.开发流程 - 配置数据库 - 定义模型类 - 生成迁移文件 - 执行迁移生成数据表 - 使用模型类进行增删改查操作 2.ORM - **概述**:对象->关系->映射 - **任务** ...
- 前端点击png透明部分解决方案
看效果:点击空白区域红色1.点击实体区域红色2.分别得到颜色数据(包括透明度数据),控制台蓝色1.2.根据颜色数据即可解决png透明部分的点击问题. 让图片不能点击,分两种 1. 整张图片不能点击.这 ...
- Burp suite基本配置介绍
实验目的 利用Burp Spider功能探测目标网站的目录结构. 实验原理 1)Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应 ...