分享更有价值
被信任是一种快乐

mysql如何开启审计功能

文章页正文上

这篇文章给大家分享的是有关mysql如何开启审计功能的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
背景:
假设这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查,证据又在哪?
是不是觉得无能为力?
mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于mysql访问审计的思路。概述:
其实mysql本身已经提供了详细的sql执行记录–general log ,但免费主机域名是开启它有以下几个缺点 无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。 sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。 日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。 本文观点:
使用init-connect + binlog的方法进行mysql的操作审计。 由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。 因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。 在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。 1. 设置init-connect
1.1 创建用于存放连接日志的数据库和表
create database accesslog;
CREATE TABL免费主机域名E accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))
1.2 创建用户权限
可用现成的root用户用于信息的读取 grant insert onaccesslog.* to testuser@。。。。。。 ——其他用户需要对改库拥有insert 的权限,不然init初始化时插不进去
1.3 设置init-connect
在[mysqld]下添加以下设置: init-connect=’insert into accesslog.accesslog values(connection_id(),now(),current_user(),user());’ log-bin 1.4 重启数据库生效
shell> service mysqld restart 2.1 thread_id确认
假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位 mysqlbinlog –start-datetime=’2009-11-25 09:00:00′ –stop-datetime=’2009-11-25 09:00:00′ binlog.xxxx | grep ‘dummy’ -B 5 会得到如下结果(可见thread_id为5): # at 300777 #091124 16:54:00 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0 SET TIMESTAMP=1259052840; drop table test.dummy; 2.2 用户确认 thread_id 确认以后,找到元凶就只是一条sql语句的问题了。select * from accesslog.accesslog where conn_id=5 ;就能发现是testuser2@localhost干的了。
+——+——————————-+——————————-+—————————–+| id | time | localname | matchname |+——+——————————-+——————————-+—————————–+| 5 | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@% |+——+——————————-+——————————-+—————————–+Q:使用init-connect会影响服务器性能吗?A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)Q:access-log表如何维护?A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。Q:表有其他用途么?A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。
感谢各位的阅读!关于“mysql如何开启审计功能”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!

相关推荐: mysql时间转换方法是什么

这篇文章主要讲解了“mysql时间转换方法是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“mysql时间转换方法是什么”吧! 将日期转为时间戳在MySQL中,可以使用UNIX_TIMESTAMP函数将日期转…

文章页内容下
赞(0) 打赏
版权声明:本站采用知识共享、学习交流,不允许用于商业用途;文章由发布者自行承担一切责任,与本站无关。
文章页正文下
文章页评论上

云服务器、web空间可免费试用

宝塔面板主机、支持php,mysql等,SSL部署;安全高速企业专供99.999%稳定,另有高防主机、不限制内容等类型,具体可咨询QQ:360163164,Tel同微信:18905205712

主机选购导航云服务器试用

登录

找回密码

注册