MySQL企业版之Audit(审计)初体验

Wesley13
• 阅读 528

MySQL企业版审计(AUDIT)插件试用体验。

MySQL企业版的优势在于有原厂技术支持,以及几个相当不错的功能插件,例如Transparent Data Encryption (TDE)(透明数据加密)、Audit(审计)、thread pool(线程池)、firewall(防火墙)、Data Masking(数据打码)等功能,还有企业级高可用、备份、监控等工具套件。

在企业级应用中,通常需要记录关键操作行为,以及满足合规审计需求,所以会用到审计功能。

本文带着大家一起体验企业版审计插件(Audit Plugin)。

1. 安装插件

安装审计插件比较简单,只要执行安装目录下的脚本即可

mysql -f < path-to-basedir/share/audit_log_filter_linux_install.sql[root@yejr.run]> show plugins;+---------------------------------+----------+--------------------+--------------+-------------+| Name                            | Status   | Type               | Library      | License     |+---------------------------------+----------+--------------------+--------------+-------------+...| audit_log                       | ACTIVE   | AUDIT              | audit_log.so | PROPRIETARY |+---------------------------------+----------+--------------------+--------------+-------------+

此外,datadir目录下还会生成对应的日志文件 audit.log

2. 审计插件设置

和审计插件相关的配置参数有17个,但我认为需要关注的参数主要有下面几个:

[root@yejr.run]> show global variables like 'audi%';+--------------------------------------+--------------+| Variable_name                        | Value        |+--------------------------------------+--------------+...| audit_log_buffer_size                | 8388608      || audit_log_rotate_on_size             | 67108864     || audit_log_strategy                   | ASYNCHRONOUS |...+--------------------------------------+--------------+
  • audit_log_buffer_size,在写入日志文件前,可以放在buffer里的日志大小。

  • audit_log_rotate_on_size,日志文件超过64MB后,会生成一个新的,更方便管理。

  • audit_log_strategy,日志写入策略,采用默认的ASYNCHRONOUS(异步)即可。

企业版的审计功能,可以针对以下不同事件类型进行审计:a. 指定某些账户,或者排除某些账号。b. 针对某些事件类型(event class),例如:connection(连接)、general(常规操作)、tableaccess(表访问)。c. 在上述类型的基础上,还可以指定某些子类型(event subclass),例如:针对连接中的changeuser行为,或者针对表访问的delete行为等。d. 事件日志中包含指定关键字,例如可以记录针对某个关键业务表的删除行为(防止误操作或恶意破坏)。

审计策略规则存储在 mysql.audit_log_filtermysql.audit_log_user 两个表中,前者存储具体的规则策略,后者存储策略=>账户的对应关系。

[root@yejr.run] [mysql]>select NAME, FILTER from audit_log_filter;+--------------------+--------------------------+| NAME               | FILTER                   |+--------------------+--------------------------+| abort_yejr_t1_del  | {"filter": {"class": ... || log_yejr_all_query | {"filter": {"class": ... |+--------------------+--------------------------+[root@yejr.run] [mysql]>select * from audit_log_user;+------+------+-------------------+| USER | HOST | FILTERNAME        |+------+------+-------------------+| yejr | %    | abort_yejr_t1_del |+------+------+-------------------+

初始化完毕后,还要执行下面的SQL以升级相关的表结构(主要是校验集):

ALTER TABLE mysql.audit_log_user  DROP FOREIGN KEY audit_log_user_ibfk_1;

3. 审计规则使用案例

===============

举几个审计规则的案例。规则1:记录账户 "yejr@'%'" 全部Query请求,除此外不记录其他请求,包括像连接、断开的请求。

# 创建一个新规则,名为 log_yejr_all_query[yejr@yejr.run]> select audit_log_filter_set_filter('log_yejr_all_query', '{  "filter": {    "class": {    "name": "general",      "event": {        "name": "status",        "log": {          "field": { "name": "general_command.str", "value": "Query" }        }      }    }  }}');# 将这个新规则指派给账号 yejr@%[yejr@yejr.run]> select audit_log_filter_set_user('yejr@%', 'log_yejr_all_query');

规则2:记录 "root@localhost" 账户的全部请求,万一超级账户误操作可以看日志

[yejr@yejr.run]> select audit_log_filter_set_filter('log_all', '{ "filter": { "log": true } }');[yejr@yejr.run]> select audit_log_filter_set_user('root@localhost', 'log_all');

规则3:阻止 "jack@'%'" 删除 "yejr.t1" 表中的数据

[yejr@yejr.run]> select audit_log_filter_set_filter('abort_yejr_t1_del', '{  "filter": {    "class": {      "name": "table_access",      "event": {        "name": [ "delete" ],        "abort": {          "and": [            { "field": { "name": "table_database.str", "value": "yejr" } },            { "field": { "name": "table_name.str", "value": "t1" } }          ]        }      }    }  }}');[yejr@yejr.run]> select audit_log_filter_set_user('jack@%', 'abort_yejr_t1_del');

最后,可以手动刷新策略使其立即生效。

[yejr@yejr.run]> select audit_log_filter_flush();

如果执行完后,这个规则还没理解生效,有几种方法:

  1. 在客户端的话,可以手动执行命令 connect,使其重新建立连接,就可以生效了。

  2. 应用程序断开重新连接。

  3. 如果用C API的话,可以调用 mysql_change_user() 函数即可。

上面案例中的第三条规则刷新后,如果执行删除请求,就会报告下面的错误提示:

[yejr@yejr.run] [yejr]> delete from t1 where id = 3306;ERROR 1045 (28000): Statement was aborted by an audit log filter

并且审计日志中会有这样一条记录:

 <AUDIT_RECORD>  <TIMESTAMP>2020-06-02T08:51:25 UTC</TIMESTAMP>  <RECORD_ID>14_2020-06-02T08:32:44</RECORD_ID>  <NAME>TableDelete</NAME>  <CONNECTION_ID>33</CONNECTION_ID>  <USER>yejr[yejr] @ localhost []</USER>  <OS_LOGIN/>  <HOST>localhost</HOST>  <IP/>  <COMMAND_CLASS>delete</COMMAND_CLASS>  <SQLTEXT>delete from t1 where id = 514</SQLTEXT>  <DB>yejr</DB>  <TABLE>t1</TABLE> </AUDIT_RECORD>

此外,关于审计策略的使用还有以下几点:

a. 规则中可以是包含或排除某些策略。b. 还可以在规则中设定阻止(忽略)某些SQL的执行。c. 可以定义多条规则,并指派给多个账户。d. 还可以定义一些默认的规则。e. 开启AUDIT后,势必会有一定程度的性能损失。

更多复杂的策略可以参考手册内容。对比看了下MariDB的AUDIT插件功能,相对于Oracle MySQL企业版还是简单了些,就不做对比测试了。

最后亲切友情提醒:MySQL企业版下载后只能试用一个月,试用完毕后记得删除卸载哟,土豪的话直接无脑付费即可哟

参考

enjoy MySQL :)

全文完。


由叶老师主讲的知数堂「MySQL优化课」课程早已升级到MySQL 8.0版本了,现在上车刚刚好,扫码开启MySQL 8.0的修行之旅吧。

MySQL企业版之Audit(审计)初体验


另外,叶老师在腾讯课堂《MySQL性能优化》精编版第一期已完结,本课程讲解读几个MySQL性能优化的核心要素:合理利用索引,降低锁影响,提高事务并发度

下面是自动拼团的二维码直接享受组团价

MySQL企业版之Audit(审计)初体验  

本文分享自微信公众号 - 老叶茶馆(iMySQL_WX)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Python3:sqlalchemy对mysql数据库操作,非sql语句
Python3:sqlalchemy对mysql数据库操作,非sql语句python3authorlizmdatetime2018020110:00:00coding:utf8'''
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Stella981 Stella981
3年前
Android蓝牙连接汽车OBD设备
//设备连接public class BluetoothConnect implements Runnable {    private static final UUID CONNECT_UUID  UUID.fromString("0000110100001000800000805F9B34FB");
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
为什么mysql不推荐使用雪花ID作为主键
作者:毛辰飞背景在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一),而是推荐连续自增的主键id,官方的推荐是auto_increment,那么为什么不建议采用uuid,使用uuid究
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这