mysql如何使用audit日志审计操作-mysql教程-PHP中文网

mysql如何使用audit日志审计操作

P粉602998670

发布： 2025-10-08 17:14:02

原创

194人浏览过

MySQL审计需依赖插件实现，企业版可用audit_log插件，社区版可选McAfee插件。1. 企业版配置：在my.cnf中加载audit_log.so，设置audit_log_format、policy等参数，重启后生效，日志默认存于数据目录的audit.log。2. 社区版方案：下载McAfee插件so文件，放入plugin_dir，执行INSTALL PLUGIN audit SONAME 'libaudit_plugin.so'，通过SET GLOBAL启用JSON日志并指定路径与记录操作类型。3. 日志示例为JSON格式，含时间、用户、操作命令与SQL语句，用于安全合规分析。4. 建议限制审计范围以降低性能影响，定期归档日志，严格控制文件权限，并集成ELK或Splunk进行集中管理。

mysql如何使用audit日志审计操作

MySQL 本身不自带完整的审计功能，但可以通过安装官方的 MySQL Enterprise Audit 插件来实现操作审计。社区版 MySQL 默认不包含该插件，但可以借助第三方审计插件如 McAfee MySQL Audit Plugin 或使用企业版的 audit_log 插件。

1. 使用 MySQL Enterprise Audit 插件（企业版）

如果你使用的是 MySQL 企业版，可以直接启用 audit_log 插件。

步骤如下：

确认插件文件存在：通常为 audit_log.so（Linux）或 audit_log.dll（Windows），位于 MySQL 的 plugin 目录下。
在 MySQL 配置文件（如 my.cnf 或 my.ini）中添加以下内容：

[mysqld]
plugin-load=audit_log.so
audit_log_format=JSON
audit_log_policy=ALL
audit_log_include_accounts='user@host'  # 可选，只审计特定用户

登录后复制

重启 MySQL 服务使配置生效。
登录 MySQL 验证插件是否加载成功：

SHOW PLUGINS;

登录后复制

查找 audit_log 是否处于 ACTIVE 状态。

日志默认生成在数据目录下的 audit.log 文件中，格式可设为 JSON 或 OLD（传统文本）。

2. 社区版使用 McAfee MySQL Audit Plugin

适用于 MySQL 社区版，由社区维护，支持主流版本。

PPT.CN,PPTCN,PPT.CN是什么,PPT.CN官网,PPT.CN如何使用

一键操作，智能生成专业级PPT

查看详情

步骤如下：

下载插件：从 GitHub 搜索 McAfee/mysql-audit 获取对应平台的 .so 文件。
将 libaudit_plugin.so 放入 MySQL 插件目录（可通过 SELECT @@plugin_dir; 查看路径）。
加载插件：

INSTALL PLUGIN audit SONAME 'libaudit_plugin.so';

登录后复制

检查是否安装成功：

SHOW PLUGINS;

登录后复制

配置审计行为，通过设置全局变量控制输出方式和内容：

SET GLOBAL audit_json_file = ON;
SET GLOBAL audit_json_log_file = '/var/log/mysql/audit.log';
SET GLOBAL audit_record_cmds = 'insert,update,delete,drop,create';  # 记录的操作类型
SET GLOBAL audit_record_objs = 'table,view';  # 记录的对象类型

登录后复制

这些参数也可写入 my.cnf，避免重启失效。

3. 审计日志内容示例（JSON 格式）

日志中会记录连接、查询、权限变更等事件，例如：

{
  "msg-type": "activity",
  "date": "2025-04-05T10:23:12",
  "thread-id": "123",
  "query-id": "456",
  "user": "root@localhost",
  "command": "Query",
  "query": "UPDATE users SET name='test' WHERE id=1"
}

登录后复制

可用于安全分析、合规审查或故障追踪。