首页 > 代码库 > mysql审计实现方法

mysql审计实现方法

Mysql版本: 5.6.24-72.2

一、通过init-connect + binlog 实现MySQL审计功能

基本原理:

由于审计的关键在于DML语句,而所有的DML语句都可以通过binlog记录。

不过遗憾的是目前MySQL binlog 中只记录,产生这条记录的connection id(随连接数自增,循环使用),这对之后的反查没有任何帮助。

因此考虑通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。

在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论

 

1. 设置init-connect :

1.1创建用于存放连接信息的表

create database AuditDB default charset utf8;
use AuditDB;
CREATE TABLE accesslog (`id` int(11) primary key auto_increment, `LoginTime` timestamp, `LocalName` varchar(30), `MatchName` varchar(30));


1.2 保证所有的用户对此表有写权限

use mysql;
insert into db (Host,Db,User,Insert_priv) values (‘%‘,‘AuditDB‘,‘‘,‘Y‘);
flush privileges;

1.3 设置init-connect

在my.cnf 中的 [mysqld] 的block 添加以下配置;

init-connect=‘insert into AuditDB.accesslog (id,LoginTime,LocalName,MatchName) values (connection_id(),now(),user(),current_user());‘

这里必须开启binlog:
log-bin=xxx

1.4 重启数据库生效

service mysql restart

2. 测试:

2.1 创建用户, 授权。 创建表

CREATE USER ‘monitor‘@‘localhost‘ IDENTIFIED BY ‘123456‘;
grant all on maildb.* to monitor@‘%‘;
mysql -h localhost -umonitor -p123456 -D maildb
create table test1 (name varchar(32), id int(11));

  

2.2 查询每次登录的记录:

mysql -h localhost -umonitor -p123456
select * from AuditDB.accesslog;

查找是谁创建的test1表,先在binlog中查找到创建表时候的thread_id

[root@Node_01 ~]# mysqlbinlog /usr/local/mysql/binlog/binlog.000021 |grep --color ‘test1‘ -B 5
#150917 12:41:43 server id 11 end_log_pos 939 CRC32 0x5691b7f5 Xid = 20
COMMIT/*!*/;
# at 939
#150917 12:42:18 server id 11 end_log_pos 1066 CRC32 0xde7951a0 Query thread_id=4(此处) exec_time=0 error_code=0
SET TIMESTAMP=1442464938/*!*/;
create table test1 (name varchar(32), id int(11))

  

根据 thread_id 在 AuditDB.accesslog 对应 id字段: 就可以查出这是 monitor@localhost 干的了.

mysql> select * from AuditDB.accesslog where id=4; 
+----+---------------------+-------------------+-------------------+
| id | LoginTime | LocalName | MatchName |
+----+---------------------+-------------------+-------------------+
| 4 | 2015-09-17 12:41:43 | monitor@localhost | monitor@localhost |
+----+---------------------+-------------------+-------------------+

  

3. Q&A

Q:使用init-connect会影响服务器性能吗?

A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)

Q:access-log表如何维护?

A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。

Q:表有其他用途么?

A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。

Q:会有遗漏的记录吗?

A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。

参考: http://www.cnblogs.com/cenalulu/archive/2012/05/09/2491736.html


二、macfee公司基于percona开发的mysql audit 插件:

wiki首页:https://github.com/mcafee/mysql-audit/wiki

二进制包下载:https://bintray.com/mcafee/mysql-audit-plugin/release包含了5.1,5.5,5.6对应的二进制包

下载: https://bintray.com/artifact/download/mcafee/mysql-audit-plugin/1.0.8/audit-plugin-mysql-5.6-1.0.8-527-linux-x86_64.zip

1 安装配置插件

1.1 解压:

unzip audit-plugin-mysql-5.6-1.0.8-527-linux-x86_64.zip

  

1.2 查看mysql插件目录:

mysql> SHOW GLOBAL VARIABLES LIKE ‘plugin_dir‘;
+---------------+------------------------------------+
| Variable_name | Value |
+---------------+------------------------------------+
| plugin_dir | /usr/local/mysql/lib/mysql/plugin/ |
+---------------+------------------------------------+

  

1.3 复制下载的so文件至plugin_dir,创建日志目录

cd audit-plugin-mysql-5.6-1.0.8-527
cp lib/libaudit_plugin.so /usr/local/mysql/lib/mysql/plugin/
mkdir /usr/local/mysql/audit_log/
chown mysql.mysql /usr/local/mysql/audit_log/

  

1.4 下载offset脚本,根据版本计算
offsets具体可以参考https://github.com/mcafee/mysql-audit/wiki/Troubleshooting

wget https://raw.github.com/mcafee/mysql-audit/master/offset-extract/offset-extract.sh
# chmod +x offset-extract.sh
# ./offset-extract.sh /usr/local/mysql/bin/mysqld
//offsets for: /usr/local/mysql/bin/mysqld (5.6.24-72.2)
{"5.6.24-72.2","c518d31ce76de4d470fcf2712877712e", 7680, 7728, 4384, 5024, 88, 2720, 96, 0, 32, 104, 152, 7848},

  

1.5:配置my.cnf,在mysqld块里面加入以下内容:

plugin-load=AUDIT=libaudit_plugin.so
audit_offsets=7680, 7728, 4384, 5024, 88, 2720, 96, 0, 32, 104, 152, 7848
audit_json_file=ON
audit_json_log_file=/usr/local/mysql/audit_log/mysql-audit.json
audit_record_cmds=insert,delete,update,create,drop,revoke,alter,grant,set #针对这些语句来审计

  

1.6 重启mysql数据库

service mysql restart

  

2.1 验证是否生效:

查看版本:

mysql> SHOW GLOBAL STATUS LIKE ‘AUDIT_version‘;
+---------------+-----------+
| Variable_name | Value |
+---------------+-----------+
| Audit_version | 1.0.8-527 |
+---------------+-----------+

  

查看是否开启:

mysql> SHOW GLOBAL VARIABLES LIKE ‘audit_json_file‘;
+-----------------+-------+
| Variable_name | Value |
+-----------------+-------+
| audit_json_file | ON |
+-----------------+-------+

  

可以创建一个test1表,查看/usr/local/mysql/audit_log/mysql-audit.json文件中会有记录.

2.2 重要的参数说明:

1. audit_json_file #是否开启audit功能
2. audit_json_log_file #记录文件的路径和名称信息
3. audit_record_cmds #audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合
如:audit_record_cmds=select,insert,delete,update
还可以在线设置set global audit_record_cmds=NULL(表示记录所有命令)

其他配置参数参考: https://github.com/mcafee/mysql-audit/wiki/Configuration

mysql审计实现方法