mysql 开启安全审计功能可通过以下方式实现:1. 使用 audit_log 插件(企业版自带),通过 install plugin 加载并在配置文件中设置记录事件、格式和路径;2. 启用通用日志和慢查询日志,记录所有连接与 sql 操作;3. 配合 pt-query-digest、elk stack 等外部工具增强审计分析能力;4. 定期检查、清理并轮转日志文件,防止磁盘占满影响服务。
安装完 mysql 后,开启安全审计功能是很多用户关心的问题。其实,MySQL 本身并没有内置完整的审计模块,但可以通过插件或者日志功能来实现基本的审计需求。下面从几个实用角度出发,说说怎么配置 MySQL 的安全审计功能。
1. 使用 MySQL 审计插件(如 audit_log)
MySQL 企业版自带了一个叫做 audit_log 的插件,可以记录登录、查询、权限变更等操作。如果你使用的是社区版,这个插件是没有的,需要自己找第三方插件或换用 mariadb。
启用方法如下:
-
确认插件是否存在:
SHOW PLUGINS;
看有没有 audit_log 这个插件。
-
如果存在,可以通过以下命令加载:
INSTALL PLUGIN audit_log SONAME 'audit_log.so';
-
然后在 my.cnf 或 my.ini 中添加配置项,比如记录哪些事件、输出格式、保存路径等:
[mysqld] plugin-load-add=audit_log.so audit_log_format=JSON audit_log_file=/var/log/mysql/audit.log audit_log_policy=ALL
修改完配置文件后重启 MySQL 生效。
2. 利用通用日志和慢查询日志做基础审计
如果你没有企业版,也可以通过 MySQL 自带的日志功能来做一些简单的审计:
- 通用日志(General Log):记录所有客户端连接和执行的 SQL 语句。
- 慢查询日志(Slow Query Log):只记录执行时间较长的语句。
启用方式很简单,在配置文件中加上:
[mysqld] general_log = 1 general_log_file = /var/log/mysql/general.log slow_query_log = 1 slow_query_log_file = /var/log/mysql/slow.log long_query_time = 2
这样就可以看到谁在什么时间执行了哪些 SQL,虽然不如审计插件详细,但对排查问题也有帮助。
3. 配合外部工具加强审计能力
如果对安全性要求更高,可以考虑引入外部工具或服务来增强审计能力:
- pt-query-digest:可以分析慢查询日志,找出高频或有问题的 SQL。
- ELK Stack(elasticsearch + Logstash + Kibana):将日志集中收集、可视化,方便追踪。
- 数据库防火墙类产品:有些商业产品会提供更完善的审计和防护机制。
这些工具配合 MySQL 的日志输出,可以构建出一个比较完整的审计体系。
4. 定期检查和清理日志,避免磁盘占满
不管你是用哪种方式做审计,都别忘了定期查看和清理日志文件:
-
查看日志文件大小:
ls -lh /var/log/mysql/
-
清理日志(建议先备份):
> /var/log/mysql/general.log
-
设置自动轮转(logrotate),在 /etc/logrotate.d/mysql 中添加配置。
否则某天你会发现 MySQL 因为磁盘满了突然挂掉,那就得不偿失了。
基本上就这些。配置起来不算复杂,但关键是要根据自己的实际需求选择合适的方式,并做好日志管理。
