通过启用通用日志、二进制日志及第三方审计插件实现 mysql 操作追踪,配置文件 设置日志路径与类型,结合权限管理与日志轮转保障安全,高合规场景建议使用 mysql 企业版 Audit Plugin。
在 MySQL 中配置日志审计用于追踪操作,主要是通过启用和合理配置相关日志功能来实现。虽然 MySQL 本身不提供原生的完整审计功能(如细粒度用户行为记录),但可以通过开启通用日志、慢查询日志、二进制日志以及结合第三方审计插件来满足审计需求。
启用通用查询日志(General Query Log)
通用日志会记录所有客户端连接和执行的 sql 语句,是审计用户操作的基础 工具。
- 编辑 MySQL配置文件 (通常是
my.cnf或my.ini):
[mysqld]
general_log = ON
general_log_file = /var/log/mysql/general.log
- 重启 MySQL 服务或动态启用:
SET GLOBAL general_log = ON;
注意:通用日志对性能有一定影响,建议仅在需要审计时开启,并定期归档日志。
使用二进制日志(Binary Log)追踪数据变更
二进制日志记录所有更改数据的 SQL 语句(如 INSERT、UPDATE、delete),可用于恢复和审计数据修改。
- 在配置文件中启用 binlog:
[mysqld]
log_bin = /var/log/mysql/mysql-bin.log
server_id = 1
mysqlbinlog /var/log/mysql/mysql-bin.000001
适用于追踪谁在什么时候修改了哪些数据。
安装并配置企业级审计插件(如mariadb Audit Plugin 或 MySQL Enterprise Audit)
社区版 MySQL 可通过加载 MariaDB 的审计插件实现详细审计。
- 下载并安装
server_audit.so(通常为 lib/plugin 目录下) - 加载插件:
INSTALL PLUGIN server_audit SONAME ‘server_audit.so’;
- 配置插件参数(在 my.cnf 中):
[mysqld]
plugin-load = server_audit.so
server-audit-output-type = FILE
server-audit-log-file = /var/log/mysql/audit.log
server-audit-events = CONNECT,QUERY,table,ROLLBACK
设置日志权限与安全管理
确保日志文件不被未授权访问或篡改。
基本上就这些。根据实际安全要求选择合适的日志组合。如果合规性要求高(如等保、GDPR),建议使用 MySQL Enterprise Edition 的 Audit Plugin,功能更完整且支持jsON 格式输出。开启审计后应定期审查日志,及时发现异常操作。
