Mysql

关注公众号 jb51net

关闭
首页 > 数据库 > Mysql > Mysql8无插件方式审计

Mysql8中的无插件方式审计

作者:endzhi

这篇文章主要介绍了Mysql8中的无插件方式审计,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

需求

在mysql 8中记录用户对数据库表的操作内容,操作时间,客户端源ip地址。

在mysql5.7完美地采用MariaDB的server_audit插件来记录{时间,节点,用户,源IP,事件类型,库,语句,影响行数}等审计,但从mysql8开始已不支持该插件,同类的第三方插件也无法使用。

目前找到的方式:

[ binlog + init-connect ],binlog可以审计到所有数据记录及表结构变更相关的记录,但,不记录连接的信息,要通过额外的手段来记录,比如show full processlist;

是可得出连接信息中的process id,与binlog中的thread id进行关联分析,得到连接的信息{用户名、登录时间、源ip},为了永久记录process id,采用init-connect 方式记录到数据库表中。

1. 创建init-connect用于记录的库和表

       mysql>   create database mysql_access_log;
       mysql>   create table mysql_access_log.access_log ( conn_id int(11) default null, `time` timestamp, `localname` varchar(30), `matchname` varchar(30));

2. 授权用户于该库的表mysql_access_log.accesslog有insert权限

如用户user_web

mysql>   grant insert on `mysql_access_log`.`access_log` to 'user_web'@'%';

3. 配置用户登录日志插入表

my.cnf中 [mysqld] 下添加,并重启mysql生效

init-connect='insert into mysql_access_log.access_log values(connection_id(),now(),user(),current_user());'

4. 特别注意

①init-connect只记录非super权限用户,所以好好管理用户,按情况回收super权限;

②非super权限用户登录都受init-connect影响,未授权对mysql_access_log.access_log有insert权限的用户即无法登录成功!

③当重启mysql后connection_id会存在不按历史续增长而重复出现,所以查记录时注意多个重复的id记录。

5. 开启mysql-binlog日志记录

my.cnf [mysqld] 下添加,并重启mysql生效

# 二进制日志
log-bin=mysql-bin
# binlog-do-db=db  #仅作用的库
expire_logs_days = 20
max_binlog_size = 300m

6. 从binlogi日志 取thread_id去查用户名和源ip

模拟删除book库books表中的一条记录-----过程省略!

解密mysql-bin查看内容,找到DELETE操作的thread_id号,如这里的8。

[root@localhost data]# mysqlbinlog  --base64-output=decode-row -vv  mysql-bin.000003  > ./mysql-bin.000003--vv.log  
 
[root@localhost data]# tail -n  30   ./mysql-bin.000003--vv.log
#200712 18:24:01 server id 1  end_log_pos 1008 CRC32 0x62294de5    Query   thread_id=8     exec_time=0   error_code=0
SET TIMESTAMP=1594549441/*!*/;
SET @@session.character_set_client=255,@@session.collation_connection=255,@@session.collation_server=255/*!*/;
#200712 18:24:01 server id 1  end_log_pos 1079 CRC32 0x0723c708         Table_map: `book`.`books` mapped to number 95
#200712 18:24:01 server id 1  end_log_pos 1187 CRC32 0xc96cc08e         Delete_rows: table id 95 flags: STMT_END_F
### DELETE FROM `book`.`books`
###   @1=44 /* INT meta=0 nullable=0 is_null=0 */
###   @2='XML 完全探索' /* VARSTRING(765) meta=765 nullable=1 is_null=0 */

根据thread_id号去找init-connect记录表的登录用户和源ip

[root@localhost data]# mysql -u root -p -e "select * from mysql_access_log.access_log  where conn_id=8 ;" 
| conn_id | time                | localname               | matchname  |
+---------+---------------------+-------------------------+------------+-
|       8 | 2020-07-12 18:23:41 | user_web@192.168.53.119 | user_web@% |
+---------+---------------------+-------------------------+------------+-

7. 开启general-log日志记录

[ binlog + init-connect ] 方式,受限于binlog本身记录日志的局限,无法审计一些并不记录在binlog中的内容。

比如无SELECT、Connect;可同时开启mysql的general-log记录,记录执行的所有的语句的信息。

my.cnf [mysqld] 下添加,并重启mysql生效

general-log=1

general_log_file = /opt/mysql/data/general_log_file.log   #按你实际路径,注意权限

但存在的不足

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

您可能感兴趣的文章:
阅读全文