背景：

假設這么一個情況，你是某公司mysql-DBA，某日突然公司數據庫中的所有被人為刪了。

盡管有數據備份，但是因服務停止而造成的損失上千萬，現在公司需要查出那個做刪除操作的人。

但是擁有數據庫操作權限的人很多，如何排查，證據又在哪？

是不是覺得無能為力？

mysql本身并沒有操作審計的功能，那是不是意味著遇到這種情況只能自認倒霉呢？

本文就將討論一種簡單易行的，用于mysql訪問審計的思路。

?

關鍵字：init—connect,binlog,trigger

概述：

其實mysql本身已經提供了詳細的sql執行記錄–general log ，但是開啟它有以下幾個缺點

無論sql有無語法錯誤，只要執行了就會記錄，導致記錄大量無用信息，后期的篩選有難度。

sql并發量很大時，log的記錄會對io造成一定的印象，是數據庫效率降低。

日志文件很容易快速膨脹，不妥善處理會對磁盤空間造成一定影響。

基本原理：

由于審計的關鍵在于DML語句，而所有的DML語句都可以通過binlog記錄。

不過遺憾的是目前MySQL binlog 中只記錄，產生這條記錄的connection id（隨連接數自增，循環使用），這對之后的反查沒有任何幫助。

因此考慮通過init-connect，在每次連接的初始化階段，記錄下這個連接的用戶，和connection_id信息。

在后期審計進行行為追蹤時，根據binlog記錄的行為及對應的connection-id 結合 之前連接日志記錄 進行分析，得出最后的結論

?聲明：

本文只是探討思路的可行性，并沒有經過嚴格的線上測試。請慎重使用在生產環境！

---

正文：

1. 設置init-connect

1.1創建用于存放連接信息的表

create database AuditDB default charset utf8; use AuditDB; create table accesslog (ID int primary key auto_increment,ConnectionID int, ConnUserName varchar(30), PrivMatchName varchar(30), LoginTIme timestamp);

?

1.2 保證所有的用戶對此表有寫權限

insert into db (Host,Db,User,Insert_priv) values ('%','AuditDB','','Y');
flush privileges;

?

1.3 設置init-connect

在my.cnf 中的 [mysqld] 的block 添加以下配置；

init-connect='insert into AuditDB.accesslog (ConnectionID,ConnUserName,PrivMatchName,LoginTime) values(connection_id(),user(),current_user(),now());' log-bin

?

1.4 重啟數據庫生效

service mysqld restart

?

?

2. 記錄追蹤

2.1 thread_id確認

假設想知道在2009年11月25日，上午9點多的時候，是誰吧test.dummy這個表給刪了?？梢杂靡韵抡Z句定位

mysqlbinlog –start-datetime=’2009-11-25 09:00:00′ –stop-datetime=’2009-11-25 09:00:00′ ?binlog.xxxx | grep ‘dummy’ -B 5

會得到如下結果(可見thread_id為5)：

?

# at 300777#091124 16:54:00 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0SET TIMESTAMP=1259052840;drop table test.dummy;

?
?

2.2 用戶確認

thread_id 確認以后，找到元兇就只是一條sql語句的問題了。

select ID,LoginTime,PrivMatchName,ConnUserName fromAuditDB.accesslog where ConnectionID=5 ;

就能發現是testuser2@localhost干的了。

?

+——+——————————-+——————————-+—————————–+| ID | LoginTime | PrivMatchName | ConnUserName |+——+——————————-+——————————-+—————————–+| 5 | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@% |+——+——————————-+——————————-+—————————–+

?

?

---

?

3. Q&A

Q：使用init-connect會影響服務器性能嗎？

A：理論上，只會在用戶每次連接時往數據庫里插入一條記錄，不會對數據庫產生很大影響。除非連接頻率非常高（當然，這個時候需要注意的就是如何進行連接復用和控制，而非是不是要用這種方法的問題了）

Q：access-log表如何維護?

A: 由于是一個log系統，推薦使用archive存儲引擎，有利于數據厄壓縮存放。如果數據庫連接數量很大的話，建議一定時間做一次數據導出，然后清表。

Q：表有其他用途么？

A：有！access-log表當然不只用于審計，當然也可以用于對于數據庫連接的情況進行數據分析，例如每日連接數分布圖等等，只有想不到沒有做不到。

Q：會有遺漏的記錄嗎？

A：會的，init-connect 是不會在super用戶登錄時執行的。所以access-log里不會有數據庫超級用戶的記錄，這也是為什么我們不主張多個超級用戶，并且多人使用的原因。

?

?

?

?

?

轉載于:https://www.cnblogs.com/cenalulu/archive/2012/05/09/2491736.html

總結

以上是生活随笔為你收集整理的通过init-connect + binlog 实现MySQL审计功能的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。