第4天 一篇、【MariaDB】日志审计

【2016年12月4日】

忙了好几天,没来得及看书,但总要交点货吧!!

最近老板要审计,服务器压力很大,过去的mysql内部的审计早就关闭了,硬件审计又没上,贺大神推荐写到磁盘文件里.

1.在maridb官网下载插件,上传到mysql服务器,解压

https://mariadb.com/kb/en/mariadb/mariadb-audit-plugin/

2.登录mysql

[email protected] [(none)]>SHOW VARIABLES LIKE ‘plugin_dir‘;
+---------------+------------------------------+
| Variable_name | Value                        |
+---------------+------------------------------+
| plugin_dir    | /usr/local/mysql/lib/plugin/ |
+---------------+------------------------------+
1 row in set (0.01 sec)

3.把插件拷贝到plugindir目录下,在mysql中安装:

INSTALL PLUGIN server_audit SONAME ‘server_audit.so;
set global server_audit_events=‘query_ddl,query_dml‘;
set global server_audit_logging  = 1;

4.vi  /etc/my.cnf

 server_audit_logging
 server_audit_events=connect,query(可选)

5.重启mysql(这里可以不用重启)

6.查看审计日志

[email protected]:(none) 08:41:54>SHOW VARIABLES LIKE ‘server_audit%‘;
+-------------------------------+----------------------------------+
| Variable_name                 | Value                            |
+-------------------------------+----------------------------------+
| server_audit_events           | QUERY_DDL,QUERY_DML              | #指定记录事件的类型,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query,cache)查询直接从查询缓存返回数据,将没有table记录
| server_audit_excl_users       | bbb,aaaaaa                       | #该列表的用户操作不被记录,connet不受该设置影响
| server_audit_file_path        | /data/audit_log/server_audit.log | #审计日志存放地址(默认在数据库data目录下)
| server_audit_file_rotate_now  | OFF                              | #强制日志文件轮转
| server_audit_file_rotate_size | 1000000                          | #限制日志文件的大小
| server_audit_file_rotations   | 0                                | #指定日志文件的数量,如果为0日志将从不轮转
| server_audit_incl_users       |                                  | #指定哪些用户的活动将记录,connet不受影响,改变量比server_audit_excl_users优先级高
| server_audit_loc_info         |                                  |
| server_audit_logging          | ON                               | #表示开启审计日志服务
| server_audit_mode             | 0                                | #表示版本,用于开发测试
| server_audit_output_type      | file                             | #日志输出形式以file,syslog # https://www.oschina.net/question/12_127238
| server_audit_query_log_limit  | 1024                             |
| server_audit_syslog_facility  | LOG_USER                         | #默认Log_user,指定facility
| server_audit_syslog_ident     | mysql-server_auditing            | #指定ident,作为每个syslog记录的一部分
| server_audit_syslog_info      |                                  | #指定的info字符串将添加到syslog记录
| server_audit_syslog_priority  | LOG_INFO                         | #定义记录日志的syslogd priority
+-------------------------------+----------------------------------+
16 rows in set (0.00 sec)

server_audit_events、server_audit_logging等参数均为全局动态参数,可以直接在数据库更改。

7.这是贺春旸大神提供的

时间: 2024-08-19 06:05:42

第4天 一篇、【MariaDB】日志审计的相关文章

MariaDB日志审计 帮你揪出内个干坏事儿的小子

Part1:谁干的? 做DBA的经常会遇到,一些表被误操作了,被truncate.被delete.甚至被drop.引起这方面的原因大多数都是因为人为+权限问题导致的.一些公共账户,例如ceshi账户,所有的人都可以进行操作,由这些公共账户引起的误操作,你在办公室大喊:谁把我的表删了?8成不会有人回应你. 审计日志功能,该技术主要在MariaDB10.0/10.1和Percona 5.6版本里实现.该功能在MySQL5.6/5.7企业版里也支持.本文主要介绍和演示MariaDB10.1中如何开启审

mariadb操作审计

mariadb可以启用审计插件来对数据库的各种操作进行审计,以防运维背锅! 启用MariaDB的审计插件,并调整相关参数 MariaDB [(none)]> show variables like '%audit%'; Empty set (0.02 sec) 安装MariaDB审计插件 MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'server_audit'; Query OK, 0 rows affected (0.41 sec

MySQL日志审计 帮你揪出内个干坏事儿的小子

MySQL日志审计 帮你揪出内个干坏事的小子 简介 Part1:写在最前 MySQL本身并不像MariaDB和Percona一样提供审计功能,但如果我们想对数据库进行审计,去看是谁把我的数据库数据给删了,该怎么办呢?我们主要利用init-connect参数,让每个登录的用户都记录到我们的数据库中,并抓取其connection_id(),再根据binlog就能够找出谁干了那些破事儿. MariaDB如何审计,可移步: http://suifu.blog.51cto.com/9167728/1857

MySQL之MariaDB启用审计插件

对于MySQL Percona MariaDB三家都有自己的审计插件,但是呢,MySQL的审计插件是只有企业版才有的,同时也有很多第三方的的MySQL的审计插件,而Percona和MariaDB都是GPL的审计插件 首先看一下mariaDB 的审计插件 [[email protected]_Aolens_01 /usr/local/mysql]# mysql -uroot -p2aa263a42dd248 Welcome to the MariaDB monitor.  Commands end

日志审计策略配置audit

日志审计策略配置 1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭.系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留. 2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作. l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作

生产环境日志审计解决方案

思路:sudo 配合syslog 服务,进行日志审计 具体方法: 安装sudo命令,rsyslog服务(centos6.4) 注意:默认情况下,centos5.8系统中已安装上sudo和syslog服务 检查是否安装好,具体操作如下: [[email protected] ~]# rpm -qa |egrep "sudo|rsyslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-15.el6.i686 如果没有安装,则有yum进行安装: [[ema

41 mariadb日志文件、备份和恢复基础

01 mariadb日志文件 CentOS 7编译安装Mariadb [[email protected] ~]# yum -y groupinstall "Development Tools" [[email protected] ~]# yum install ncurses-devel openssl-devel libevent-devel jemalloc-devel cmake -y [[email protected] ~]# tar xf mariadb-5.5.53.

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html http://people.redhat.com/sgrubb/audit/ (1)audit sudo apt-get install auditd syslog会记录系统状态(硬件警告.软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息. (2) inotify. inotify 是文件系统事件监控机制,是细

Web安全开发指南--异常错误处理与日志审计

1.异常错误处理与日志审计 5.1.日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败). 确保日志系统包含如下重要日志信息: 1.  日志发生的时间: 2.  事件的严重等级: 3.  能够标识该事件为安全事件的标签: 4.  导致事件产生的对象: 5.  导致事件产生的IP地址: 6.  事件的结果(成功或失败): 7.  关于事件的描述. 2 如果使用浏览器查看日志,确保先对日志数据进行净化.(item1.2请参考附录11.8) 3 不要在日志中存储任何敏感数据