技术头条 - 一个快速在微博传播文章的方式     搜索本站
您现在的位置首页 --> MySQL --> mysql audit-访问日志记录

mysql audit-访问日志记录

浏览:2429次  出处信息

背景:

假设这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有被人为删了。

尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。

但是拥有数据库操作权限的人很多,如何排查,证据又在哪?

是不是觉得无能为力?

mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?

本文就将讨论一种简单易行的,用于mysql访问审计的思路。

概述:

其实mysql本身已经提供了详细的sql执行记录-general log ,但是开启它有以下几个缺点

无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。

sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。

日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。

本文观点:

使用init-connect + binlog的方法进行mysql的操作审计。

由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。

因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。

在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。

正文:

1. 设置init-connect

1.1 创建用于存放连接日志的数据库和表

create database accesslog;

CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))

1.2 创建用户权限

可用现成的root用户用于信息的读取

grant read on accesslog.* to root@localhost identified by ‘password’;

如果存在具有to *.* 权限的用户需要进行限制。

1.3 设置init-connect

在[mysqld]下添加以下设置:

init-connect=’insert into accesslog.accesslog values(connection_id(),user(),current_user(),now());’

log-bin

1.4 重启数据库生效

shell> service mysqld restart

2. 记录追踪

2.1 thread_id确认

假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位

mysqlbinlog -start-datetime=’2009-11-25 09:00:00′ -stop-datetime=’2009-11-25 09:00:00′  binlog.xxxx | grep ‘dummy’ -B 5

会得到如下结果(可见thread_id为5):

# at 300777

#091124 16:54:00 server id 10  end_log_pos 301396       Query   thread_id=5     exec_time=0     error_code=0

SET TIMESTAMP=1259052840;

drop table test.dummy;

2.2 用户确认

thread_id 确认以后,找到元凶就只是一条sql语句的问题了。

select * from accesslog.accesslog where conn_id=5 ;

就能发现是testuser2@localhost干的了。


+――+――――――――――-+――――――――――-+―――――――――-+

| id   | time                        | localname              | matchname          |

+――+――――――――――-+――――――――――-+―――――――――-+

|   5  | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@%        |

+――+――――――――――-+――――――――――-+―――――――――-+

3. Q&A

Q:使用init-connect会影响服务器性能吗?

A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)

Q:access-log表如何维护?

A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。

Q:表有其他用途么?

A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。


Q:会有遗漏的记录吗?

A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。

建议继续学习:

  1. server日志的路径分析    (阅读:10203)
  2. AWStats简介:Apache/Windows IIS的日志分析工具的下载,安装,配置样例和使用(含6.9中文定义补丁)    (阅读:8952)
  3. 利用脚本分析日志并利用snmp自定义OID,再通过cacti画图    (阅读:8747)
  4. tomcat catalina.out日志切割每天生成一个文件    (阅读:8135)
  5. 分布式日志系统scribe使用手记    (阅读:8097)
  6. AWStats是一个基于Perl的WEB日志分析工具。    (阅读:6161)
  7. 使用nginx记日志    (阅读:5175)
  8. 大于2GB的Listener.log和运行超过198天的主机上的Oracle实例    (阅读:4971)
  9. 在 shell 脚本里打日志    (阅读:4838)
  10. Sentry: 错误日志集中管理    (阅读:4415)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
© 2009 - 2024 by blogread.cn 微博:@IT技术博客大学习

京ICP备15002552号-1