首页 > 代码库 > mysql审计实现方法
mysql审计实现方法
Mysql版本: 5.6.24-72.2
一、通过init-connect + binlog 实现MySQL审计功能
基本原理:
由于审计的关键在于DML语句,而所有的DML语句都可以通过binlog记录。
不过遗憾的是目前MySQL binlog 中只记录,产生这条记录的connection id(随连接数自增,循环使用),这对之后的反查没有任何帮助。
因此考虑通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论
1. 设置init-connect :
1.1创建用于存放连接信息的表
create database AuditDB default charset utf8; use AuditDB; CREATE TABLE accesslog (`id` int(11) primary key auto_increment, `LoginTime` timestamp, `LocalName` varchar(30), `MatchName` varchar(30));
1.2 保证所有的用户对此表有写权限
use mysql; insert into db (Host,Db,User,Insert_priv) values (‘%‘,‘AuditDB‘,‘‘,‘Y‘); flush privileges;
1.3 设置init-connect
在my.cnf 中的 [mysqld] 的block 添加以下配置;
init-connect=‘insert into AuditDB.accesslog (id,LoginTime,LocalName,MatchName) values (connection_id(),now(),user(),current_user());‘
这里必须开启binlog:
log-bin=xxx
1.4 重启数据库生效
service mysql restart
2. 测试:
2.1 创建用户, 授权。 创建表
CREATE USER ‘monitor‘@‘localhost‘ IDENTIFIED BY ‘123456‘; grant all on maildb.* to monitor@‘%‘; mysql -h localhost -umonitor -p123456 -D maildb create table test1 (name varchar(32), id int(11));
2.2 查询每次登录的记录:
mysql -h localhost -umonitor -p123456 select * from AuditDB.accesslog;
查找是谁创建的test1表,先在binlog中查找到创建表时候的thread_id
[root@Node_01 ~]# mysqlbinlog /usr/local/mysql/binlog/binlog.000021 |grep --color ‘test1‘ -B 5 #150917 12:41:43 server id 11 end_log_pos 939 CRC32 0x5691b7f5 Xid = 20 COMMIT/*!*/; # at 939 #150917 12:42:18 server id 11 end_log_pos 1066 CRC32 0xde7951a0 Query thread_id=4(此处) exec_time=0 error_code=0 SET TIMESTAMP=1442464938/*!*/; create table test1 (name varchar(32), id int(11))
根据 thread_id 在 AuditDB.accesslog 对应 id字段: 就可以查出这是 monitor@localhost 干的了.
mysql> select * from AuditDB.accesslog where id=4; +----+---------------------+-------------------+-------------------+ | id | LoginTime | LocalName | MatchName | +----+---------------------+-------------------+-------------------+ | 4 | 2015-09-17 12:41:43 | monitor@localhost | monitor@localhost | +----+---------------------+-------------------+-------------------+
3. Q&A
Q:使用init-connect会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)
Q:access-log表如何维护?
A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。
Q:表有其他用途么?
A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。
参考: http://www.cnblogs.com/cenalulu/archive/2012/05/09/2491736.html
二、macfee公司基于percona开发的mysql audit 插件:
wiki首页:https://github.com/mcafee/mysql-audit/wiki
二进制包下载:https://bintray.com/mcafee/mysql-audit-plugin/release包含了5.1,5.5,5.6对应的二进制包
下载: https://bintray.com/artifact/download/mcafee/mysql-audit-plugin/1.0.8/audit-plugin-mysql-5.6-1.0.8-527-linux-x86_64.zip
1 安装配置插件
1.1 解压:
unzip audit-plugin-mysql-5.6-1.0.8-527-linux-x86_64.zip
1.2 查看mysql插件目录:
mysql> SHOW GLOBAL VARIABLES LIKE ‘plugin_dir‘; +---------------+------------------------------------+ | Variable_name | Value | +---------------+------------------------------------+ | plugin_dir | /usr/local/mysql/lib/mysql/plugin/ | +---------------+------------------------------------+
1.3 复制下载的so文件至plugin_dir,创建日志目录
cd audit-plugin-mysql-5.6-1.0.8-527 cp lib/libaudit_plugin.so /usr/local/mysql/lib/mysql/plugin/ mkdir /usr/local/mysql/audit_log/ chown mysql.mysql /usr/local/mysql/audit_log/
1.4 下载offset脚本,根据版本计算
offsets具体可以参考https://github.com/mcafee/mysql-audit/wiki/Troubleshooting
wget https://raw.github.com/mcafee/mysql-audit/master/offset-extract/offset-extract.sh # chmod +x offset-extract.sh # ./offset-extract.sh /usr/local/mysql/bin/mysqld //offsets for: /usr/local/mysql/bin/mysqld (5.6.24-72.2) {"5.6.24-72.2","c518d31ce76de4d470fcf2712877712e", 7680, 7728, 4384, 5024, 88, 2720, 96, 0, 32, 104, 152, 7848},
1.5:配置my.cnf,在mysqld块里面加入以下内容:
plugin-load=AUDIT=libaudit_plugin.so audit_offsets=7680, 7728, 4384, 5024, 88, 2720, 96, 0, 32, 104, 152, 7848 audit_json_file=ON audit_json_log_file=/usr/local/mysql/audit_log/mysql-audit.json audit_record_cmds=insert,delete,update,create,drop,revoke,alter,grant,set #针对这些语句来审计
1.6 重启mysql数据库
service mysql restart
2.1 验证是否生效:
查看版本:
mysql> SHOW GLOBAL STATUS LIKE ‘AUDIT_version‘; +---------------+-----------+ | Variable_name | Value | +---------------+-----------+ | Audit_version | 1.0.8-527 | +---------------+-----------+
查看是否开启:
mysql> SHOW GLOBAL VARIABLES LIKE ‘audit_json_file‘; +-----------------+-------+ | Variable_name | Value | +-----------------+-------+ | audit_json_file | ON | +-----------------+-------+
可以创建一个test1表,查看/usr/local/mysql/audit_log/mysql-audit.json文件中会有记录.
2.2 重要的参数说明:
1. audit_json_file #是否开启audit功能
2. audit_json_log_file #记录文件的路径和名称信息
3. audit_record_cmds #audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合
如:audit_record_cmds=select,insert,delete,update
还可以在线设置set global audit_record_cmds=NULL(表示记录所有命令)
其他配置参数参考: https://github.com/mcafee/mysql-audit/wiki/Configuration
mysql审计实现方法