通过启用通用日志、二进制日志及第三方审计插件实现mysql操作追踪,配置文件设置日志路径与类型,结合权限管理与日志轮转保障安全,高合规场景建议使用mysql企业版Audit Plugin。
在MySQL中配置日志审计用于追踪操作,主要是通过启用和合理配置相关日志功能来实现。虽然MySQL本身不提供原生的完整审计功能(如细粒度用户行为记录),但可以通过开启通用日志、慢查询日志、二进制日志以及结合第三方审计插件来满足审计需求。
启用通用查询日志(General Query Log)
通用日志会记录所有客户端连接和执行的sql语句,是审计用户操作的基础工具。
- 编辑MySQL配置文件(通常是
my.cnf或my.ini):
[mysqld]
general_log = ON
general_log_file = /var/log/mysql/general.log
- 重启MySQL服务或动态启用:
SET GLOBAL general_log = ON;
注意:通用日志对性能有一定影响,建议仅在需要审计时开启,并定期归档日志。
使用二进制日志(Binary Log)追踪数据变更
二进制日志记录所有更改数据的SQL语句(如INSERT、UPDATE、delete),可用于恢复和审计数据修改。
- 在配置文件中启用binlog:
[mysqld]
log_bin = /var/log/mysql/mysql-bin.log
server_id = 1
mysqlbinlog /var/log/mysql/mysql-bin.000001
适用于追踪谁在什么时候修改了哪些数据。
安装并配置企业级审计插件(如mariadb Audit Plugin 或 MySQL Enterprise Audit)
社区版MySQL可通过加载MariaDB的审计插件实现详细审计。
- 下载并安装
server_audit.so(通常为lib/plugin目录下) - 加载插件:
INSTALL PLUGIN server_audit SONAME ‘server_audit.so’;
- 配置插件参数(在my.cnf中):
[mysqld]
plugin-load = server_audit.so
server-audit-output-type = FILE
server-audit-log-file = /var/log/mysql/audit.log
server-audit-events = CONNECT,QUERY,table,ROLLBACK
设置日志权限与安全管理
确保日志文件不被未授权访问或篡改。
基本上就这些。根据实际安全要求选择合适的日志组合。如果合规性要求高(如等保、GDPR),建议使用MySQL Enterprise Edition的Audit Plugin,功能更完整且支持jsON格式输出。开启审计后应定期审查日志,及时发现异常操作。