【MySQL】數據庫審計--MariaDB Audit Plugin

[root@wallet01?~]#?cd?/usr/lib64/mysql/plugin
[root@wallet01?plugin]#?chmod?a+x?server_audit.so

[root@wallet01?plugin]#?ls?-l?server_audit.so
-rwxr-xr-x?1?root?root?236710?Aug?28?09:12?server_audit.so

[root@wallet01?~]#?mysql?-uroot?-pAbcd@1234
mysql>?install?plugin?server_audit?SONAME?'server_audit.so';
Query?OK,?0?rows?affected?(0.03?sec)

mysql>?set?global?server_audit_logging=on;
Query?OK,?0?rows?affected?(0.00?sec)

mysql>?set?global?server_audit_events?=?'query,table,query_ddl,query_dml';
Query?OK,?0?rows?affected?(0.00?sec)

mysql>?set?global?server_audit_incl_users='tpcc';
Query?OK,?0?rows?affected?(0.00?sec)

mysql>?set?global?server_audit_file_rotations=0;
Query?OK,?0?rows?affected?(0.00?sec)

server_audit_logging

默認情況下，審計日志記錄設置為關閉。要啟用它，請將server_audit_logging變量設置為on。

server_audit_events

描述：如果設置了，則將審計日志記錄限制為某些事件類型。如果沒有設置，那么每個事件類型都會記錄到審計日志中。

事件類型

CONNECT：連接、斷開連接和失敗的連接，包括錯誤代碼

QUERY：以純文本形式執行的查詢及其結果，包括由于語法或權限錯誤而失敗的查詢

TABLE：受查詢執行影響的表

QUERY_DDL：與QUERY相同，但只篩選DDL類型的查詢（create、alter、drop、rename和truncate語句，create/drop[procedure/function/user]和rename user除外（它們不是DDL）

QUERY_DML：與QUERY相同，但只篩選DML類型的查詢（do、call、load data/xml、delete、insert、select、update、handler和replace語句）

QUERY_DCL：與QUERY相同，但只篩選DCL類型的查詢（create user、drop user、rename user、grant、revoke和set password語句）

QUERY_DML_NO_SELECT：與QUERY_DML相同，但不記錄SELECT查詢。（從1.4.4版開始）（do、call、load data/xml、delete、insert、update、handler和replace語句）

由于除了DDL和DML之外還有其他類型的查詢，因此將查詢DDL和查詢DML選項一起使用并不等同于使用查詢。從Audit插件的1.3.0版開始，有用于記錄查詢的DCL類型（例如GRANT和REVOKE語句）的QUERY_DCL選項。在同一版本中，添加了server_audit_query_log_limit變量，以便能夠設置日志記錄的長度。以前，由于查詢字符串較長，日志條目將被截斷。

server_audit_incl_users

描述：如果不為空，它包含一個逗號分隔的用戶列表，這些用戶的活動將被記錄。連接記錄不受此變量的影響-它們總是被記錄。此設置的優先級高于server_audit_excl_users。因此，如果在include和excl列表中同時指定了相同的用戶，那么它們仍然會被記錄。

server_audit_excl_users

描述：如果不為空，則包含其活動將不被記錄的用戶列表。連接記錄不受此變量的影響-它們總是被記錄

server_audit_output_type

日志可以寫入單獨的文件或系統日志。如果您希望將日志記錄與其他系統信息分開，則應將變量值server_audit_output_type設置為file

server_audit_file_path

描述：當server_audit_output_type=file時，將路徑和文件名設置為日志文件。如果指定的路徑以目錄的形式存在，則將在該目錄中創建名為'server_audit.log'的日志。否則，該值將被視為文件名。默認值為'server_audit.log'。這意味著將在數據庫目錄中創建此文件。

除了設置server_audit_output_type，還必須提供審計文件的文件路徑和名稱。這是在變量server_audit_file_path中設置的。您可以使用變量server_audit_file_rotate_size設置日志文件的文件大小限制。因此，如果啟用了旋轉，并且日志文件已達到您設置的大小限制，則會創建一個以連續數字作為擴展名的副本，原始文件將被截斷，以便再次用于審計。要限制創建的日志文件的數量，請設置變量server_audit_file_rotations。您可以通過將變量 server_audit_file_rotate_now設置為on來強制日志文件旋轉。當達到允許的文件數量時，最舊的文件將被覆蓋。