MySql中怎么配置日志審計

MySql中怎么配置日志審計，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

一、Mysql審計配置

1、審計方法選擇

使用數據庫審計插件開啟數據庫審計會犧牲部分數據庫性能，建議根據實際業務情況選擇審計插件或旁路部署審計設備。

常見的mysql免費審計插件：mariadb  audit plugin, macfee  mysql-audit

我們以mariadb audit plugin為例來完成配置安裝與分析。

2、審計插件安裝與配置

環境：windows server 2008 R2，phpstudy8.1，mysql 5.5.29，sqli-labs

官網下載mariadb-5.5.68 版本，使用命令行執行以下命令，解壓到目標目錄

msiexec /a "d:\mariadb-5.5.68-winx64.msi" /qb TARGETDIR="D:\abc"

在MariaDB 5.5\lib\plugin目錄中提取需要的插件server_audit.dll，打開mysql命令行，查詢plugin目錄

復制server_audit.dll到插件目錄，mysql命令行安裝插件，查詢插件狀態

查詢server_audit插件狀態配置，默認為關閉狀態，開啟日志審計

這些參數的具體定義：

server_audit_events    
指定記錄到日志的event類型，可以用逗號分隔的多個值(connect,query,table,query_ddl等)，如果開啟了查詢緩存(query cache)，查詢直接從查詢緩存返回數據，將沒有table記錄
server_audit_excl_users
該列表的用戶行為將不記錄，connect將不受該設置影響
server_audit_file_path    
審計日志路徑，如果server_audit_output_type為FILE，審計日志默認存于數據目錄下。即參數datadir對應的數據目錄下面。如果修改server_audit_file_path，之前舊的審計日志文件不會被刪除。需要手工去清理、刪除。另外MySQL會開始新的審計日志輪轉。
server_audit_file_rotate_now
強制輪轉一次，執行腳本SET GLOBAL server_audit_file_rotate_now = ON;后，審計日志就會強制輪轉一次。
server_audit_file_rotate_size
限制單個輪轉審計日志大小，超出該限值后自動輪轉。默認值為1000000，單位為byte,建議設置稍微大一點，例如,64M大小，67108864。具體根據實際需求和參數server_audit_file_rotations一起設定。
server_audit_file_rotations 
輪轉日志總數，當設為0表示審計日志不輪轉。默認值為9。 一般需要根據實際需求進行修改。
server_audit_incl_users    
指定哪些用戶的活動將記錄到審計日志，connect將不受此變量影響，該變量比server_audit_excl_users 優先級高
server_audit_loc_info   
這個是插件內部使用的參數，對用戶沒有什么意義。在早期版本中，用戶將其視為只讀變量，在更高版本中，它對用戶不可見。   
server_audit_logging      
審計功能的開關， ON表示開啟審計功能，OFF表示關閉審計功能。
server_audit_mode    
標識版本，用于開發測試。對于用戶而言，此變量沒有任何特殊含義。 它的值主要反映了啟動插件所使用的服務器版本，供開發人員用于測試      
server_audit_output_type    
指定審計日志的類型，有SYSLOG 或FILE兩種選擇，默認為FILE
server_audit_query_log_limit
記錄中查詢字符串的長度限制。默認為1024
server_audit_syslog_facility
當審計日志類型為syslog模式時，它定義了將發送到系統日志的記錄的“功能”。 以后可以使用此參數過濾日志。
server_audit_syslog_ident  
設置ident，作為每個syslog記錄的一部分 
server_audit_syslog_info    
指定的info字符串將添加到syslog記錄
server_audit_syslog_priority
定義記錄日志的syslogd priority

3、error日志

查詢err日志的路徑。至此日志配置與所需的文件已備齊，以審計日志server_audit.log和data.err為基礎進行入侵分析。

二、實戰思路

通過搭建sqli-labs測試環境，根據mysql日志，分析mysql暴力破解，手工注入，sqlmap os-shell三種攻擊模式的日志記錄，盡可能的還原攻擊場景，追溯攻擊源信息。

1、mysql暴力破解

mysql對外開放端口，使用mysql暴力破解時的日志信息

data.err  中記錄了攻擊的ip地址和第一次連接的時間

200909 10:15:41 [Warning] IP address '192.168.106.180' could not be resolved: 不知道這樣的主機。

server_audit.log  從下圖可以看出，攻擊者多線程破解，破解的賬號root，攻擊者ip 192.168.106.180，返回代碼1045，登陸成功后的執行了4個查詢操作。

日志格式為：

[timestamp],[serverhost],[username],[host],[connectionid],[queryid],QUERY,[database],[object], [retcode]

可以根據 賬號，ip地址，返回代碼進行日志篩選分析，登陸后查詢操作特征，可以推測使用的破解工具。

2、sql注入攻擊

使用sqli-labs模擬存在漏洞的應用，github下載sqli-labs代碼復制到phpstudy  www目錄，運行項目，通過手動輸入獲取webshell。

模擬場景：已知服務器被執行phpinfo，疑似被入侵，需要通過日志分析入侵點與獲得權限的方法。

此次data.err無變化，我們分析nginx的access.log 和審計插件的server_audit.log

發現access.log和server_audit.log均記錄了攻擊是sql注入，并通過mysql outfile寫入后門到web目錄，執行了phpinfo，觸發報警。由于access.log不記錄post請求的請求體，故server_audit.log可以看到更詳細的攻擊細節。

3、sqlmap os-shell攻擊

通過sqlmap獲取mysql os-shell，分析os-shell過程，日志有哪些特征

模擬場景：假設在場景2中，sql注入攻擊時，應用方修復了sql漏洞，并對web目錄進行了權限限制，監控又發現了命令執行的報警，嘗試分析入侵點。

sqlmap -d "mysql://root:root@192.168.x.x:3306/mysql" --os-shell，成功后執行whoami

查看server_audit.log日志，可以看到sqlmap os-shell執行的完整過程,包括探測mysql版本，字符集，操作系統類型，如何用實現udf實現命令執行等。

日志里包含了很多sqlmap的特征，udf達到命令執行的特征，可結合其他日志初步判斷為mysql密碼泄露導致的udf命令執行。

命令執行時的錯誤會被錯誤日志data.err記錄，引用一個mysql勒索病毒的日志截圖，暴漏了攻擊者控制的服務器地址信息。

看完上述內容，你們掌握MySql中怎么配置日志審計的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！