MySQL企业版之Audit(审计)初体验
MySQL企业版之Audit(审计)初体验
MySQL企业版审计(AUDIT)插件试用体验。
MySQL企业版的优势在于有原厂技术支持,以及几个相当不错的功能插件,例如Transparent Data Encryption (TDE)(透明数据加密)、Audit(审计)、thread pool(线程池)、firewall(防火墙)、Data Masking(数据打码)等功能,还有企业级高可用、备份、监控等工具套件。
在企业级应用中,通常需要记录关键操作行为,以及满足合规审计需求,所以会用到审计功能。
本文带着大家一起体验企业版审计插件(Audit Plugin)。
1. 安装插件
安装审计插件比较简单,只要执行安装目录下的脚本即可
mysql -f < path-to-basedir/share/audit_log_filter_linux_install.sql
[root@yejr.run]> show plugins;
+---------------------------------+----------+--------------------+--------------+-------------+
| Name | Status | Type | Library | License |
+---------------------------------+----------+--------------------+--------------+-------------+
...
| audit_log | ACTIVE | AUDIT | audit_log.so | PROPRIETARY |
+---------------------------------+----------+--------------------+--------------+-------------+此外,datadir目录下还会生成对应的日志文件 audit.log。
2. 审计插件设置
和审计插件相关的配置参数有17个,但我认为需要关注的参数主要有下面几个:
[root@yejr.run]> show global variables like 'audi%';
+--------------------------------------+--------------+
| Variable_name | Value |
+--------------------------------------+--------------+
...
| audit_log_buffer_size | 8388608 |
| audit_log_rotate_on_size | 67108864 |
| audit_log_strategy | ASYNCHRONOUS |
...
+--------------------------------------+--------------+- audit_log_buffer_size,在写入日志文件前,可以放在buffer里的日志大小。
- audit_log_rotate_on_size,日志文件超过64MB后,会生成一个新的,更方便管理。
- audit_log_strategy,日志写入策略,采用默认的ASYNCHRONOUS(异步)即可。
企业版的审计功能,可以针对以下不同事件类型进行审计:a. 指定某些账户,或者排除某些账号。b. 针对某些事件类型(event class),例如:connection(连接)、general(常规操作)、tableaccess(表访问)。c. 在上述类型的基础上,还可以指定某些子类型(event subclass),例如:针对连接中的changeuser行为,或者针对表访问的delete行为等。d. 事件日志中包含指定关键字,例如可以记录针对某个关键业务表的删除行为(防止误操作或恶意破坏)。
审计策略规则存储在 mysql.audit_log_filter 和 mysql.audit_log_user 两个表中,前者存储具体的规则策略,后者存储策略=>账户的对应关系。
[root@yejr.run] [mysql]>select NAME, FILTER from audit_log_filter;
+--------------------+--------------------------+
| NAME | FILTER |
+--------------------+--------------------------+
| abort_yejr_t1_del | {"filter": {"class": ... |
| log_yejr_all_query | {"filter": {"class": ... |
+--------------------+--------------------------+
[root@yejr.run] [mysql]>select * from audit_log_user;
+------+------+-------------------+
| USER | HOST | FILTERNAME |
+------+------+-------------------+
| yejr | % | abort_yejr_t1_del |
+------+------+-------------------+初始化完毕后,还要执行下面的SQL以升级相关的表结构(主要是校验集):
ALTER TABLE mysql.audit_log_user
DROP FOREIGN KEY audit_log_user_ibfk_1;
ALTER TABLE mysql.audit_log_filter
CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_as_ci;
ALTER TABLE mysql.audit_log_user
CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_as_ci;
ALTER TABLE mysql.audit_log_user
MODIFY COLUMN USER VARCHAR(32);
ALTER TABLE mysql.audit_log_user
ADD FOREIGN KEY (FILTERNAME) REFERENCES mysql.audit_log_filter(NAME);3. 审计规则使用案例
举几个审计规则的案例。规则1:记录账户 "yejr@'%'" 全部Query请求,除此外不记录其他请求,包括像连接、断开的请求。
# 创建一个新规则,名为 log_yejr_all_query
[yejr@yejr.run]> select audit_log_filter_set_filter('log_yejr_all_query', '{
"filter": {
"class": {
"name": "general",
"event": {
"name": "status",
"log": {
"field": { "name": "general_command.str", "value": "Query" }
}
}
}
}
}');
# 将这个新规则指派给账号 yejr@%
[yejr@yejr.run]> select audit_log_filter_set_user('yejr@%', 'log_yejr_all_query');规则2:记录 "root@localhost" 账户的全部请求,万一超级账户误操作可以看日志
[yejr@yejr.run]> select audit_log_filter_set_filter('log_all', '{ "filter": { "log": true } }');
[yejr@yejr.run]> select audit_log_filter_set_user('root@localhost', 'log_all');规则3:阻止 "jack@'%'" 删除 "yejr.t1" 表中的数据
[yejr@yejr.run]> select audit_log_filter_set_filter('abort_yejr_t1_del', '{
"filter": {
"class": {
"name": "table_access",
"event": {
"name": [ "delete" ],
"abort": {
"and": [
{ "field": { "name": "table_database.str", "value": "yejr" } },
{ "field": { "name": "table_name.str", "value": "t1" } }
]
}
}
}
}
}
');
[yejr@yejr.run]> select audit_log_filter_set_user('jack@%', 'abort_yejr_t1_del');最后,可以手动刷新策略使其立即生效。
[yejr@yejr.run]> select audit_log_filter_flush();如果执行完后,这个规则还没理解生效,有几种方法:
- 在客户端的话,可以手动执行命令
connect,使其重新建立连接,就可以生效了。 - 应用程序断开重新连接。
- 如果用C API的话,可以调用
mysql_change_user()函数即可。
上面案例中的第三条规则刷新后,如果执行删除请求,就会报告下面的错误提示:
[yejr@yejr.run] [yejr]> delete from t1 where id = 3306;
ERROR 1045 (28000): Statement was aborted by an audit log filter并且审计日志中会有这样一条记录:
<AUDIT_RECORD>
<TIMESTAMP>2020-06-02T08:51:25 UTC</TIMESTAMP>
<RECORD_ID>14_2020-06-02T08:32:44</RECORD_ID>
<NAME>TableDelete</NAME>
<CONNECTION_ID>33</CONNECTION_ID>
<USER>yejr[yejr] @ localhost []</USER>
<OS_LOGIN/>
<HOST>localhost</HOST>
<IP/>
<COMMAND_CLASS>delete</COMMAND_CLASS>
<SQLTEXT>delete from t1 where id = 514</SQLTEXT>
<DB>yejr</DB>
<TABLE>t1</TABLE>
</AUDIT_RECORD>此外,关于审计策略的使用还有以下几点:
a. 规则中可以是包含或排除某些策略。b. 还可以在规则中设定阻止(忽略)某些SQL的执行。c. 可以定义多条规则,并指派给多个账户。d. 还可以定义一些默认的规则。e. 开启AUDIT后,势必会有一定程度的性能损失。
更多复杂的策略可以参考手册内容。对比看了下MariDB的AUDIT插件功能,相对于Oracle MySQL企业版还是简单了些,就不做对比测试了。
最后亲切友情提醒:MySQL企业版下载后只能试用一个月,试用完毕后记得删除卸载哟,土豪的话直接无脑付费即可哟。
参考
- MySQL Enterprise Audit,https://dev.mysql.com/doc/refman/8.0/en/audit-log.html
enjoy MySQL :)
全文完。