【MySQL】MySQL 社区版本开启审计日志

MySQL 社区版本是否支持开启审计日志？

MySQL 社区版本支持开启审计日志。MySQL 5.5.3 及更高版本提供了审计日志功能，可以用于记录数据库服务器的活动和事件，协助进行安全性审计和故障排查。通过配置审计日志，可以记录用户连接、查询语句、DDL 和 DML 操作、登录和退出等信息。

要启用审计日志，您需要编辑 MySQL 的配置文件（一般为 my.cnf 或 my.ini），并设置相应的参数。以下是一些常用的审计日志参数：

• audit_log: 指定审计日志文件的路径和名称。
• audit_log_format: 指定审计日志的格式，可以是 “JSON” 或 “OLD”.
• audit_log_rotate_on_size: 设置审计日志文件达到必定大小时是否进行轮转。
• audit_log_policy: 指定审计日志的记录策略，可以是 “ALL”（记录所有事件）或 “LOGINS”（仅记录登录和退出事件）。

配置完成后，重新启动 MySQL 服务器，审计日志将开始记录相应的事件。您可以使用日志文件查看工具（如 less、tail 等）来查看和分析审计日志。
请注意，启用审计日志可能会对系统性能产生必定的影响，因此在生产环境中使用时需谨慎评估。

如何开启MySQL 5.6版本审计日志？

要在 MySQL 5.6 版本中启用审计日志，您需要进行以下步骤：

1. 编辑 MySQL 的配置文件（my.cnf 或 my.ini）。您可以使用以下命令之一来查找配置文件的位置：

   • mysql --help | grep "my.cnf"
   • mysqladmin --help | grep "my.cnf"
   • mysqld --help --verbose | grep "my.cnf"

2. 在配置文件中找到 [mysqld] 部分，添加或修改以下参数：

   [mysqld]
   ...
   # 启用审计日志
   audit_log = ON
   # 指定审计日志文件的路径和名称
   audit_log_file = /path/to/audit.log
   # 指定审计日志的格式，可以是 "JSON" 或 "OLD"
   audit_log_format = JSON
   # 设置审计日志文件达到必定大小时是否进行轮转
   audit_log_rotate_on_size = 1000000000
   # 指定审计日志的记录策略，可以是 "ALL"（记录所有事件）或 "LOGINS"（仅记录登录和退出事件）
   audit_log_policy = ALL
   ...
   

   请注意，将 /path/to/audit.log 替换为您希望存储审计日志的实际路径和文件名。

3. 保存并关闭配置文件。

4. 重启 MySQL 服务器，以使新的配置生效。您可以使用以下命令来重启 MySQL：

   • 在 Ubuntu 或 Debian 上：sudo service mysql restart
   • 在 CentOS 或 Red Hat 上：sudo systemctl restart mysqld
   • 在 Windows 上：使用服务管理器或 MySQL 的命令行工具来重启。

目前，MySQL 5.6 版本中的审计日志已经启用了，并会将事件记录到指定的日志文件中。
您可以使用日志文件查看工具（如 less、tail 等）来查看和分析审计日志。

要在MySQL社区版本中启用审计日志，需要执行以下步骤：

1. 打开MySQL配置文件。该文件一般位于/etc/mysql/my.cnf或/etc/my.cnf，具体位置取决于操作系统和安装方式。

2. 找到并编辑以下行，如果不存在则添加它们：

   [mysqld]
   plugin-load-add=audit_log.so
   audit-log=FORCE_PLUS_PERMANENT
   audit-log-file=/var/log/mysql/audit.log
   audit_log_format=JSON
   

   • plugin-load-add=audit_log.so将加载审计日志插件。
   • audit-log=FORCE_PLUS_PERMANENT将强制启用审计日志，并在MySQL重新启动后保持启用状态。
   • audit-log-file=/var/log/mysql/audit.log将指定审计日志的文件路径。你可以根据需要更改此路径。
   • audit_log_format=JSON将指定审计日志的格式为JSON。如果不指定此选项，默认格式为CSV。

3. 保存并关闭配置文件。

4. 重新启动MySQL服务，以使配置更改生效。你可以使用以下命令重启MySQL服务：

   sudo service mysql restart
   

目前，MySQL社区版本应该已经启用了审计日志，并将日志记录到指定的文件中。
你可以通过查看/var/log/mysql/audit.log文件来查看和分析审计日志。
请注意，你可能需要相应的权限才能访问和查看这个文件。

如何检查 MySQL 是否开启了 审计日志？

要检查MySQL是否已启用审计日志，可以执行以下步骤：

1. 连接到MySQL服务器。你可以使用命令行客户端（如MySQL Shell或mysql命令）或任何其他MySQL客户端工具，以管理员或具有足够权限的用户身份进行连接。

2. 执行以下命令来查看当前的MySQL配置：

   SHOW VARIABLES LIKE  audit% ;
   

   这将显示与审计相关的配置选项及其当前值。

   • audit_log选项的值应为ON，表明审计已启用。如果值为OFF，则表明审计未启用。
   • audit_log_file选项的值指示了审计日志的文件路径。你可以查看该路径以确认是否有相应的日志文件生成。

如果audit_log的值为ON，并且audit_log_file指定的路径存在相应的日志文件，则表明MySQL已启用审计日志。否则，如果audit_log的值为OFF，则表明审计未启用。

SONAME是”Shared Object Name”的缩写。在Linux和Unix系统中，共享对象是可重用的代码和函数库，以.so文件的形式存在。共享对象文件包含可由多个程序共享的代码和数据。

SONAME是共享对象的标识符，用于指定共享对象的名称和版本信息。在MySQL中，SONAME用于指定插件的共享库文件名，以便MySQL可以加载和使用插件。通过指定SONAME，MySQL可以确定正确的共享库文件，并确保插件与MySQL版本和操作系统兼容。

插件的SONAME一般与插件共享库文件的文件名相关联，但并不总是一样。SONAME提供了一种独立于具体文件名的标识方式，使得插件可以在不同的系统上进行移植和使用。

需要注意的是，如果MySQL的配置更改后没有重新启动MySQL服务，那么上述步骤可能不会反映最新的配置更改。
在修改配置后，请确保重新启动MySQL服务以使更改生效。

如何不重启MySQL，实现开启MySQL 审计日志？

在MySQL中，要在不重启MySQL服务的情况下启用审计日志，你可以执行以下步骤：

1. 连接到MySQL服务器。你可以使用命令行客户端（如MySQL Shell或mysql命令）或任何其他MySQL客户端工具，以管理员或具有足够权限的用户身份进行连接。

2. 执行以下命令来动态加载审计日志插件：

   INSTALL PLUGIN audit_log SONAME  audit_log.so ;
   

   这将加载审计日志插件，而无需重新启动MySQL服务。

3. 执行以下命令来启用审计日志：

   SET GLOBAL audit_log=ON;
   

   这将启用审计日志功能，并开始记录日志。

目前，MySQL将开始记录审计日志，而无需重新启动MySQL服务。
你可以通过查看配置文件中定义的审计日志文件路径或执行SHOW VARIABLES LIKE audit_log_file ;命令来确定日志文件的位置。
请注意，这些更改在MySQL重新启动后将失效，因此如果你希望在长期运行中保持审计日志的启用状态，提议在MySQL配置文件中进行相应的更改并重启MySQL服务。

审计日志大致记录的内容是什么？

审计日志的内容取决于您的配置和数据库的活动。一般而言，审计日志记录了数据库服务器的各种事件和操作，包括用户连接、查询语句、DDL 和 DML 操作、登录和退出等信息。

以下是一些可能的审计日志记录示例及其解读：

1. 用户连接事件：

   {
     "timestamp": "2022-01-01 12:00:00",
     "event": "Connect",
     "user": "alice",
     "host": "192.168.0.1",
     "ip": "192.168.0.1",
     "port": 54321,
     "status": "Success"
   }
   

   这条记录表明用户 “alice” 成功连接到数据库服务器，IP 地址为 “192.168.0.1”，端口为 54321。

2. 查询语句事件：

   {
     "timestamp": "2022-01-01 12:05:00",
     "event": "Query",
     "user": "bob",
     "host": "192.168.0.2",
     "ip": "192.168.0.2",
     "port": 12345,
     "query": "SELECT * FROM customers",
     "status": "Success"
   }
   

   这条记录表明用户 “bob” 成功执行了一个查询语句，查询了名为 “customers” 的表的所有数据。

3. DDL 操作事件（例如创建表）：

   {
     "timestamp": "2022-01-01 12:10:00",
     "event": "DDL",
     "user": "admin",
     "host": "localhost",
     "ip": "127.0.0.1",
     "port": 54321,
     "query": "CREATE TABLE orders (id INT, customer_id INT, amount DECIMAL(10,2))",
     "status": "Success"
   }
   

   这条记录表明用户 “admin” 成功执行了一个 DDL 操作，创建了一个名为 “orders” 的表。

4. 登录和退出事件：

   {
     "timestamp": "2022-01-01 12:15:00",
     "event": "Login",
     "user": "john",
     "host": "192.168.0.3",
     "ip": "192.168.0.3",
     "port": 54321,
     "status": "Success"
   }
   

   这条记录表明用户 “john” 成功登录到数据库服务器。

   {
     "timestamp": "2022-01-01 12:20:00",
     "event": "Logout",
     "user": "john",
     "host": "192.168.0.3",
     "ip": "192.168.0.3",
     "port": 54321,
     "status": "Success"
   }
   

   这条记录表明用户 “john” 成功退出数据库服务器。

这些示例仅是可能的审计日志记录，实际记录的内容和格式可能会有所不同。
根据您的需求，您可以分析这些记录来进行安全性审计、故障排查等操作。