免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 8971 | 回复: 0

mysql的审计功能 [复制链接]

论坛徽章:
0
发表于 2011-12-19 13:55 |显示全部楼层

mysql的审计功能

 

mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。

 

1. 设置init-connect

1.1 创建用于存放连接日志的数据库和表

create database accesslog;

CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))

 

1.2 创建用户权限

可用现成的root用户用于信息的读取

grant select on accesslog.*  to root;

如果存在具有to *.* 权限的用户需要进行限制。

 

这里还需要注意用户必须对accesslog表具有insert权限

grant select on accesslog.*  to  user@’%’;

 

1.3 设置init-connect

[mysqld]下添加以下设置:

init-connect=’insertinto accesslog.accesslog(id, time, localname, matchname)

 values(connection_id(),now(),user(),current_user());’

------注意user()current_user()的区别

log-bin=xxx

这里必须开启binlog

 

1.4 重启数据库生效

shell> /etc/init.d/mysql restart

 

2. 记录追踪

2.1 thread_id确认

 

可以用以下语句定位语句执行人

 

Tencent:~ # mysqlbinlog --start-datetime='2011-01-26 16:00:00'

--stop-datetime='2011-01-26 17:00:00' /var/lib/mysql/mysql-bin.000010

| grep -B 5 'wsj'

 

COMMIT/*!*/;

# at 767

#110126 16:16:43 server id 1  end_log_pos 872   Query   thread_id=19    exec_time=0     error_code=0

use test/*!*/;

SET TIMESTAMP=1296029803/*!*/;

create table wsj(id int unsigned not null)

--

BEGIN

/*!*/;

# at 940

#110126 16:16:57 server id 1  end_log_pos 1033  Query   thread_id=19    exec_time=0     error_code=0

SET TIMESTAMP=1296029817/*!*/;

insert into wsj(id) values (1)

--

BEGIN

/*!*/;

# at 1128

#110126 16:16:58 server id 1  end_log_pos 1221  Query   thread_id=19    exec_time=0     error_code=0

SET TIMESTAMP=1296029818/*!*/;

insert into wsj(id) values (2)

 

 

2.2 用户确认

 

thread_id 确认以后,找到元凶就只是一条sql语句的问题了。

 

mysql> select * from accesslog where id=19;

+----+---------------------+---------------------+-----------+

| id | time                | localname           | matchname |

+----+---------------------+---------------------+-----------+

| 19 | 2011-01-26 16:15:54 | test@10.163.164.216 | test@%    |

+----+---------------------+---------------------+-----------+

1 row in set (0.00 sec)

 

 

3. Q

Q:使用init-connect会影响服务器性能吗?

A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)---如果采用长连接并且缓存的话,可以提高性能

 

Qaccess-log表如何维护?

A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。

Q:表有其他用途么?

A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。---可以用来测试读写分离,验证负载均衡等

 

Q:会有遗漏的记录吗?

A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。--这种审计不会记录root等具有super权限的账号对数据库的访问

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP