Ubuntu下rsyslog集中收集mysql审计日志

服务端

1、安装最新版本rsyslog

sudo apt-get install software-properties-common python-software-properties
sudo add-apt-repository ppa:adiscon/v8-stable
sudo apt-get update
sudo apt-get install rsyslog

2、配置目录存储mysql审计日志

vim /etc/rsyslog.d/50-default.conf
# add: define logfiles
$template Mysql-audit,"/var/log/remote_log/%app-name%/%hostname%_%fromhost-ip%_log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log"
$template Remote,"/var/log/remote_log/%hostname%_%fromhost-ip%/log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log"
# Log all messages to the dynamically formed file.
:app-name,isequal,"mysql-audit" ?Mysql-audit
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
& stop

3、安装MySQL以及rsyslog-mysql模块，

apt-get install rsyslog-mysql mysql-server -y #安装过程中会自动创建表

4、配置/etc/rsyslog.d/50-default.conf，以便将mysql的审计日志本地保留一份,mysql数据库里写一份

vim /etc/rsyslog.d/50-default.conf
$ModLoad ommysql #加载ommysql模块,将日志写入mysql
$template Remote,"/var/log/remote_log/%hostname%_%fromhost-ip%/log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log"
$template Mysql-audit,"/var/log/remote_log/%app-name%/%hostname%_%fromhost-ip%_log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log"
:app-name,isequal,"mysql-audit" ?Mysql-audit
& :ommysql:localhost,Syslog,rsyslog,123.com #在前一行的日志匹配动作之后,继续将日志插入到mysql
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
& stop #结束前面的匹配信息,包括mysql-audit的匹配.

客户端

1、安装最新版本syslog

sudo apt-get install software-properties-common python-software-properties
sudo add-apt-repository ppa:adiscon/v8-stable
sudo apt-get update
sudo apt-get install rsyslog

2、rsyslog配置(注意如果升级为8.30.0之后不需要state文件配置)

创建配置文件 /etc/rsyslog.d/mysql-audit.conf
#mysql-audit.log
module(load="imfile" PollingInterval="10") #加载模块
input(type="imfile" File="/data/mysqldata/mysql_audit.log" #定义文件位置
                Tag="mysql-audit" #打tag
                #StateFile="/var/spool/rsyslog/mysql-audit.state" #inotify 状态
                Severity="error" #log级别
                Facility="local7") #rsyslog 级别
local7.* @10.25.109.64:514 #传送log服务器
#end

3、修改syslog的记录,过滤掉mysql日志,不记录本机syslog

:app-name,isequal,"mysql-audit" stop
*.*;auth,authpriv.none          -/var/log/syslog

4、重启rsyslog以及设定文件权限

touch /var/spool/rsyslog/mysql-audit.state
chown syslog.adm /var/spool/rsyslog/mysql-audit.state
usermod -G mysql syslog
/etc/init.d/rsyslog restart

时间： 2024-08-03 23:35:10

Ubuntu下rsyslog集中收集mysql审计日志的相关文章

Ubuntu下（Linux+Apache+MYSQL+PHP, LAMP）环境搭建

最近开始玩PHP,于是试着搭建一下开发环境并做个记录,以备日后再使用起来方便可查. 第一步确保软件包是最新的 <span style="font-size: 18px;">sudo apt-get update</span> 第二步安装Apache2 <span style="font-size: 18px;">sudo apt-get install apache2</span> 安装之后测试:在浏览器中打开 h

ubuntu 下安装 apache php mysql

ubuntu 安装 apache+php+mysql1.打开终端,输入"sudo apt-get install apache2",回车;(安装apache2.0或2.x新版本,系统会自动查找新的版本)2.如有密码请再输入管理员密码,回车3.输入"Y",回车4.apache2.X 安装完成5.验证apache2.x安装是否完成,在浏览器中打开http://localhost/或者http://127.0.0.1.如果出现It works!那证明成功;6.打开终端,输

Ubuntu下关闭apache和mysql的开机启动

Ubuntu下关闭apache和mysql的开机启动 sudo apt-get install sysv-rc-conf sudo sysv-rc-conf sudo vi /etc/init/mysql.conf Ubuntu运行级别的总结一般的linux分7个级别: 0代表关机(halt) 1级别是单用户模式(single) 2级别是多用户级别,这个是默认级别 3,4,5未定义,可以提供给用户定义其他多用户级别 6代表重启(restart) S级别系统内部定义的单用户恢复模式. 相关问题:

在64位Ubuntu下搭建Java web +mysql

今天搭建了一个ubuntu 64位的tomcat + java + mysql的环境,现在总结一下: 1.下载jdk 地址: http://download.oracle.com/otn-pub/java/jdk/7u51-b13/jdk-7u51-linux-x64.tar.gz?AuthParam=1394967394_1531ce17d13be0962e25ec8fe3e45f1d 安装: tar xvf 解压刚下载的jdk压缩包. 然后到/etc/profile(注释:使用vi命令)文件

zhuan:ubuntu下安装Apache2+php+Mysql

from: http://www.cnblogs.com/lynch_world/archive/2012/01/06/2314717.html ubuntu下安装Apache+PHP+Mysql 转载自:http://www.comflag.com/2011/05/01/apache-web.htm 电影<社交网络>中,facebook创始人马克.扎克失恋后入侵哈佛大学宿舍楼服务器,窃取数据库资料,并在两个小时内完成了一个给校内女生评分的交互网站,该网站一天内点击数过10W,直接导致学校服务

【Problem】xampp in ubuntu下命令行启动mysql报错： ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/opt/lampp/var/mysql/mysql.sock' (2)

xampp in ubuntu下命令行启动mysql报错: [email protected]:/opt/lampp$ ./bin/mysql -u root -p Enter password: ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/opt/lampp/var/mysql/mysql.sock' (2) 启动mysql服务: [email protected]:/opt/lampp$ /