mariadb audit (mariadb server_audit.so 安装)
在大家常接触的数据库里oracle、MysqL、mariadb、sql server 都会有相关的审计需求,但是它们的增加审计的操作方式却不太相同,下面就我个人的经验,讲讲mariadb审计插件的安装。
经过试验发现,在MysqL上的审计插件libaudit_plugin.so,并不适用于mariadb。后来在mariadb中发现,它自己就带有插件,只是尚未安装在数据库而已,所以我们只要动个手进行安装即可。
1.首先登入数据库,去查看Mariadb是否已经安装了审计插件
MariaDB [(none)]> show global variables like '%audit%';
Empty set (0.00 sec)
如上所示,并没有安装,那我们就去看看数据库里存放安装审计插件的路径是在哪里
MariaDB [(none)]> SHOW VARIABLES LIKE 'plugin_dir';
+---------------+--------------------------+
| Variable_name | Value |
+---------------+--------------------------+
| plugin_dir |/usr/lib64/MysqL/plugin/|
+---------------+--------------------------+
1 row in set (0.00 sec)
我数据库的版本
MariaDB [(none)]> select version();
+----------------+
| version()|
+----------------+
| 5.5.52-MariaDB |
+----------------+
1 row in set (0.00 sec)
[root@~]cd /usr/lib64/MysqL/plugin/
你会发现有一个server_audit.so,它就是我们要找的主角了
MariaDB [(none)]> install plugin server_audit soname 'server_audit.so';
Query OK,0 rows affected (0.00 sec)
MariaDB [(none)]> flush privileges;
Query OK,0 rows affected (0.00 sec)
4.查看下,是否安装完毕
MariaDB [(none)]> show global variables like '%audit%';
+-------------------------------+-------------------------+
| Variable_name | Value |
+----------------------------------------------------------+
| server_audit_events | |
| server_audit_excl_users ||
| server_audit_file_path | server_audit.log |
| server_audit_file_rotate_now | OFF |
| server_audit_file_rotate_size | 1000000 |
| server_audit_file_rotations | 9 |
| server_audit_incl_users | |
| server_audit_loc_info |OOOOOOOO……OOO |
| server_audit_logging | OFF |
| server_audit_mode | 0 |
| server_audit_output_type | file |
| server_audit_query_log_limit | 1024 |
| server_audit_syslog_facility | LOG_USER |
| server_audit_syslog_ident | MysqL-server_auditing |
| server_audit_syslog_info | |
| server_audit_syslog_priority | LOG_INFO |
+-------------------------------+--------------------------+
16 rows in set (0.00 sec)
5.进行需求操作
开启审计
MariaDB [(none)]> set global server_audit_logging=on;
设定审计日志路径
MariaDB [(none)]> set global server_audit_file_path='/data0/mariadb/auditlog/';
设置审计日志事件的操作指令内容
MariaDB [(none)]> set global server_audit_events='QUERY_DDL,QUERY_DML';
扩大server_audit.log的限制大小后再进行轮替日志
MariaDB [(none)]> set global server_audit_file_rotate_size='200000000';
MariaDB [(none)]> set global server_audit_file_rotations='200';
设定需要进行审计的用户
MariaDB [(none)]> set global server_audit_incl_users='root';
设置免审计的用户
MariaDB [(none)]> set global server_audit_excl_users='z';
设置ident,作为syslog记录的一部分
MariaDB [(none)]> set global server_audit_syslog_ident='MysqL-server_auditing';
6.再次查看状态
MariaDB [(none)]> show global variables like '%audit%';
+-------------------------------+------------------------------+
| Variable_name | Value |
+--------------------------------------------------------------+
| server_audit_events | QUERY_DDL,QUERY_DML|
| server_audit_excl_users | z |
| server_audit_file_path | /data0/mariadb/auditlog/ |
| server_audit_file_rotate_now | OFF |
| server_audit_file_rotate_size | 200000000 |
| server_audit_file_rotations | 200 |
| server_audit_incl_users | root |
| server_audit_loc_info | OOOOO… OOOOOOOOO |
| server_audit_logging | ON |
| server_audit_mode | 0 |
| server_audit_output_type | file |
| server_audit_query_log_limit | 1024 |
| server_audit_syslog_facility | LOG_USER |
| server_audit_syslog_ident | MysqL-server_auditing|
| server_audit_syslog_info | |
| server_audit_syslog_priority | LOG_INFO |
+-------------------------------+-------------------------------+
16 rows in set (0.00 sec)
7.查看审计插件是否运行
MariaDB [(none)]> show global variables like '%audit%';
+----------------------------+-----------------+
| Variable_name | Value |
+------------------------|-----------------+
| server_audit_active |ON |
| server_audit_current_log |server_audit.log|
| server_audit_last_error | |
| server_audit_writes_Failed |0 |
+----------------------------+-----------------+
4 rows in set (0.00 sec)
从上面显示的结果可以知道server_audit_active=on,说明审计工作正在进行
8.在mariadb内设置审计的相关设定,会在数据库重启的时候会失效,为了不失效,可以在数据库设定文件上做文章
vim /etc/my.cnf
server_audit=FORCE_PLUS_PERMANENT --防止审计插件被卸载
server_audit_logging=ON --开启审计日志
server_audit_excl_users='z' --不在审计内的用户
server_audit_file_rotate_size=2000000 --审计日志文件轮替限制大小
server_audit_file_rotations=200 --审计轮替日志限制数
server_audit_excl_users='root' --审计在内的用户
server_audit_events='query_ddl,query_dml'; --审计日志事件的操作指令内容
重启mariadb数据库服务即可。
上述步骤是我在CentOS72. 上对mariadb-5.5.52的审计插件安装、开启与设定的所有操作。
另附上:mariadb官网参考文档:https://mariadb.com/kb/en/mariadb/about-the-mariadb-audit-plugin/