前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >简单实现MySQL数据库的日志审计

简单实现MySQL数据库的日志审计

作者头像
FB客服
发布2018-12-28 10:52:28
1.8K0
发布2018-12-28 10:52:28
举报
文章被收录于专栏:FreeBuf

0x0 背景

由于MySQL社区版没有自带的审计功能或插件,对于等级保护当中对数据库管理的要求的就存在一定的不满足情况的,抛开条条框框不说数据库的日志是值得研究的,通过收集数据库的日志到企业SOC平台便于安全事件的溯源与故障分析,配合目前的UEBA技术能够轻松发现很多恶意事件。

根据等级保护内容第四章“数据库管理系统安全技术要求”中 第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:

1. 建立独立的安全审计系统; 2. 定义与数据库安全相关的审计事件; 3. 设置专门的安全审计员; 4. 设置专门用于存储数据库系统审计数据的安全审计库; 5. 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

0x1 部署插件

为了节省购买一些安全设备的费用,可以尝试使用一些开源的日志审计插件。Mysql-audit是macfee公司基于percona开发的MySQL的SQL审计插件。

源码地址如下:https://github.com/mcafee/mysql-audit

首先确定当前mysql的版本去官网下载与之相对应的插件:

解压插件后需要确认mysql插件的安装目录:

将解压出来的插件libaudit_plugin.so复制到插件的目录下:

使用mysql的函数install plugin导入此插件后通过show plugin确认是否导入成功。

主要命令如下:

代码语言:javascript
复制
install plugin audit soname ‘libaudit_plugin.so’

安装完成之后并不会立马开始审计内容,需要定义一些参数。

Audit_json_file这个参数要整体控制是否开启审计功能使用命令:

代码语言:javascript
复制
Set variables audit_json_file=on

开启审计功能:

审计后的记录名可以通过查询变量audit_json_log_file获取:

代码语言:javascript
复制
Show variables like “audit_json_log_file”

默认的审计记录格式如下:

Json格式如下:

同时插件支持一些自定义的参数与命令,包括白名单与黑名单的功能。

Audit_whitelist_users: 不审计user用户的所有命令 Aduit_record_cmds: 需要进行审计的命令种类

更多的参数配置项目可以参考官方给的手册:

https://github.com/mcafee/mysql-audit/wiki/Configuration

0x2 总结

1. 通过插件的方式可以实现mysql日志的审计通过ELK的框架实现日志的保存与分析,再通过后期写一些脚本分析可以实现安全检测与业务分析等多个功能,关键是零成本特别适合那些”一个人的安全部”有此需求的同行们.

2. 根据一些测试数据表示,插件对性能的影响是比较大的约有20%左右的消耗需要结合具体的业务情况进行评估。

*本文作者:si1ence,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-23,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x0 背景
  • 0x1 部署插件
  • 0x2 总结
相关产品与服务
云数据库 SQL Server
腾讯云数据库 SQL Server (TencentDB for SQL Server)是业界最常用的商用数据库之一,对基于 Windows 架构的应用程序具有完美的支持。TencentDB for SQL Server 拥有微软正版授权,可持续为用户提供最新的功能,避免未授权使用软件的风险。具有即开即用、稳定可靠、安全运行、弹性扩缩等特点。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档