MySQL审计工具Audit插件使用一、介绍MySQL AUDIT
MySQL AUDIT Plugin是一个 MySQL安全审计插件,由McAfee提供,设计强调安全性和审计能力。该插件可用作独立审计解决方案,或配置为数据传送给外部监测工具。支持版本为MySQL (5.1, 5.5, 5.6, 5.7),MariaDB (5.5, 10.0, 10.1) ,Platform (32 or 64 bit)。从Mariadb 10.0版本开始audit插件直接内嵌了,名称为server_audit.so,可以直接加载使用。
macfee的mysql audit插件虽然日志信息比较大,对性能影响大,但是如果想要开启审计,那也应该忍受了。二、安装使用MySQL AUDIT
下载mysql 对应版本的 audit插件
MySQL的插件目录为:
复制库文档到MySQL库目录下
加载Audit插件
查看版本
开启Audit功能
执行任何语句(默认会记录任何语句),然后去mysql数据目录查看mysql-audit.json文档(默认为该文档)。
当然,我们还可以通过命令查看audit相关的命令
其中我们需要关注的参数有:audit_json_file
是否开启audit功能。audit_json_log_file
记录文档的路径和名称信息。audit_record_cmds
audit记录的命令,默认为记录所有命令。可以设置为任意dml、dcl、ddl的组合。如:audit_record_cmds=select,insert,delete,update。还可以在线设置set global audit_record_cmds=NULL。(表示记录所有命令)audit_record_objs
audit记录操作的对象,默认为记录所有对象,可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式:audit_record_objs=,test.,mysql.,information_schema.*。audit_whitelist_users
用户白名单。
审计数据一般在mysql的data目录下面。
