首页 > 代码库 > 第4天 一篇、【MariaDB】日志审计

第4天 一篇、【MariaDB】日志审计


【2016年12月4日】

    忙了好几天,没来得及看书,但总要交点货吧!!

    最近老板要审计,服务器压力很大,过去的mysql内部的审计早就关闭了,硬件审计又没上,贺大神推荐写到磁盘文件里.

1.在maridb官网下载插件,上传到mysql服务器,解压

https://mariadb.com/kb/en/mariadb/mariadb-audit-plugin/

2.登录mysql

root@localhost [(none)]>SHOW VARIABLES LIKE ‘plugin_dir‘;
+---------------+------------------------------+
| Variable_name | Value                        |
+---------------+------------------------------+
| plugin_dir    | /usr/local/mysql/lib/plugin/ |
+---------------+------------------------------+
1 row in set (0.01 sec)


3.把插件拷贝到plugindir目录下,在mysql中安装:

INSTALL PLUGIN server_audit SONAME ‘server_audit.so;
set global server_audit_events=‘query_ddl,query_dml‘;
set global server_audit_logging  = 1;


4.vi  /etc/my.cnf

 server_audit_logging
 server_audit_events=connect,query(可选)


5.重启mysql(这里可以不用重启)

6.查看审计日志

sys_root@localhost:(none) 08:41:54>SHOW VARIABLES LIKE ‘server_audit%‘;
+-------------------------------+----------------------------------+
| Variable_name                 | Value                            |
+-------------------------------+----------------------------------+
| server_audit_events           | QUERY_DDL,QUERY_DML              | #指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query,cache)查询直接从查询缓存返回数据,将没有table记录
| server_audit_excl_users       | bbb,aaaaaa                       | #该列表的用户操作不被记录,connet不受该设置影响
| server_audit_file_path        | /data/audit_log/server_audit.log | #审计日志存放地址(默认在数据库data目录下)
| server_audit_file_rotate_now  | OFF                              | #强制日志文件轮转
| server_audit_file_rotate_size | 1000000                          | #限制日志文件的大小
| server_audit_file_rotations   | 0                                | #指定日志文件的数量,如果为0日志将从不轮转
| server_audit_incl_users       |                                  | #指定哪些用户的活动将记录,connet不受影响,改变量比server_audit_excl_users优先级高
| server_audit_loc_info         |                                  |
| server_audit_logging          | ON                               | #表示开启审计日志服务
| server_audit_mode             | 0                                | #表示版本,用于开发测试
| server_audit_output_type      | file                             | #日志输出形式以file,syslog # https://www.oschina.net/question/12_127238
| server_audit_query_log_limit  | 1024                             |
| server_audit_syslog_facility  | LOG_USER                         | #默认Log_user,指定facility
| server_audit_syslog_ident     | mysql-server_auditing            | #指定ident,作为每个syslog记录的一部分
| server_audit_syslog_info      |                                  | #指定的info字符串将添加到syslog记录
| server_audit_syslog_priority  | LOG_INFO                         | #定义记录日志的syslogd priority
+-------------------------------+----------------------------------+
16 rows in set (0.00 sec)


server_audit_events、server_audit_logging等参数均为全局动态参数,可以直接在数据库更改。


7.这是贺春旸大神提供的


本文出自 “崛起” 博客,请务必保留此出处http://binbinwudi8688.blog.51cto.com/3023365/1879389

第4天 一篇、【MariaDB】日志审计