MySQL审计工具Audit插件使用

一、介绍MySQL AUDIT

MySQL AUDIT Plugin是一个 MySQL安全审计插件，由McAfee提供，设计强调安全性和审计能力。该插件可用作独立审计解决方案，或配置为数据传送给外部监测工具。支持版本为MySQL (5.1, 5.5, 5.6, 5.7)，MariaDB (5.5, 10.0, 10.1) ，Platform (32 or 64 bit)。从Mariadb 10.0版本开始audit插件直接内嵌了，名称为server_audit.so，可以直接加载使用。

二进制文件地址：https://bintray.com/mcafee/mysql-audit-plugin/release

macfee的mysql audit插件虽然日志信息比较大，对性能影响大，但是如果想要开启审计，请斟酌。

二、安装使用MySQL AUDIT

# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip

MySQL的插件目录为：

mysql>show global variables like 'plugin_dir'

+---------------+------------------------+

| Variable_name | Value                  |

+---------------+------------------------+

| plugin_dir    | /app/mysql/lib/plugin/ |

+---------------+------------------------+

1 row in set (0.00 sec)

复制库文件到MySQL库目录下

# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/

# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so

加载Audit插件

mysql>INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so'

查看版本

mysql>show global status like '%audit%'

+------------------------+-----------+

| Variable_name          | Value    |

+------------------------+-----------+

| Audit_protocol_version | 1.0      |

| Audit_version          | 1.1.2-694 |

+------------------------+-----------+

2 rows in set (0.00 sec)

开启Audit功能

mysql>SET GLOBAL audit_json_file=ON

Query OK, 0 rows affected (0.00 sec)

执行任何语句(默认会记录任何语句)，然后去mysql数据目录查看mysql-audit.json文件(默认为该文件)。

当然，我们还可以通过命令查看audit相关的命令。

mysql>SHOW GLOBAL VARIABLES LIKE '%audit%'

其中我们需要关注的参数有：

1、audit_json_file

是否开启audit功能。

2、audit_json_log_file

记录文件的路径和名称信息。

3、audit_record_cmds

audit记录的命令，默认为记录所有命令。可以设置为任意dml、dcl、ddl的组合。如：audit_record_cmds=select,insert,delete,update。还可以在线设置set global audit_record_cmds=NULL。(表示记录所有命令)

4、 audit_record_objs

audit记录 *** 作的对象，默认为记录所有对象，可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式：audit_record_objs=,test.*,mysql.*,information_schema.*。

5、audit_whitelist_users

用户白名单。

三、查看审计数据

插入一些数据，查看一下mysql-audit.json文件信息（json格式），如下：

$ cat /app/mysql/data/mysql-audit.json

{"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":{"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql"},"pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":[{"db":"sbtest","name":"sbtest1","obj_type":"TABLE"}],"query":"select * from sbtest1 limit 10"}

审计记录文件一般存放在mysql的数据目录下。

建立两个单域的表格。一个表格中为姓名列表(表格名：data)。另一个表格中是所插入字符的字符数(表格名：chars)。在data表格中定义一个触发器。每次在其中插入一个新姓名时，chars表格中运行的总数就会根据新插入记录的字符数目进行自动更新。(见列表A)mysql>CREATE TABLE data (name VARCHAR(255))Query OK, 0 rows affected (0.09 sec)mysql>CREATE TABLE chars (count INT(10))Query OK, 0 rows affected (0.07 sec)mysql>INSERT INTO chars (count) VALUES (0)Query OK, 1 row affected (0.00 sec)mysql>CREATE TRIGGER t1 AFTER INSERT ONdata FOR EACH ROW UPDATE chars SET count = count + CHAR_LENGTH(NEW.name)Query OK, 0 rows affected (0.01 sec)列表A理解上面代码的关键在于CREATE TRIGGER命令，被用来定义一个新触发器。这个命令建立一个新触发器，假定的名称为t1，每次有一个新记录插入到data表格中时，t1就被激活。在这个触发器中有两个重要的子句：AFTER INSERT子句表明触发器在新记录插入data表格后激活。UPDATE chars SET count = count + CHAR_LENGTH(NEW.name)子句表示触发器激活后执行的SQL命令。在本例中，该命令表明用新插入的data.name域的字符数来更新 chars.count栏。这一信息可通过内置的MySQL函数CHAR_LENGTH()获得。放在源表格域名前面的NEW关键字也值得注意。这个关键字表明触发器应考虑域的new值(也就是说，刚被插入到域中的值)。MySQL还支持相应的OLD前缀，可用它来指域以前的值。可以通过调用SHOW TRIGGER命令来检查触发器是否被激活，如列表B所示。mysql>SHOW TRIGGERS\G*************************** 1. row ***************************?Trigger: t1?Event: INSERT?Table: dataStatement: UPDATE chars SET count = count + CHAR_LENGTH(NEW.name)Timing: AFTER?Created: NULLql_mode:1 row in set (0.01 sec)列表B激活触发器后，开始对它进行测试。试着在data表格中插入几个记录：mysql>INSERT INTO data (name) VALUES ('Sue'), ('Jane')Query OK, 2 rows affected (0.00 sec)Records: 2?Duplicates: 0?Warnings: 0然后检查chars表格看触发器是否完成它该完成的任务：mysql>SELECT * FROM chars+-------+| count |+-------+| 7|+-------+1 row in set (0.00 sec)data表格中的INSERT命令激活触发器，计算插入记录的字符数，并将结果存储在chars表格中。如果往data表格中增加另外的记录，chars.count值也会相应增加。触发器应用完毕后，可有DROP TRIGGER命令轻松删除它。mysql>DROP TRIGGER t1Query OK, 0 rows affected (0.00 sec)注意：理想情况下，你还需要一个倒转触发器，每当一个记录从源表格中删除时，它从字符总数中减去记录的字符数。这很容易做到，你可以把它当作练习来完成。提示：应用BEFORE DELETE ON子句是其中一种方法。现在，要建立一个审计记录来追踪对这个表格所做的改变。这个记录将反映表格的每项改变，并向用户说明由谁做出改变以及改变的时间。需要建立一个新表格来存储这一信息(表格名：audit)，如下所示。(列表C)mysql>CREATE TABLE audit (id INT(7), balance FLOAT, user VARCHAR(50)NOT NULL, time TIMESTAMP NOT NULL)Query OK, 0 rows affected (0.09 sec)列表C接下来，我将在accounts表格中定义一个触发器。(列表D)mysql>CREATE TRIGGER t1 AFTER UPDATEON accountsFOR EACH ROW INSERT INTO audit (id, balance, user, time)VALUES (OLD.id, NEW.balance, CURRENT_USER(), NOW())Query OK, 0 rows affected (0.04 sec)列表D要是已经走到这一步，就很容易理解。accounts表格每经历一次UPDATE，触发器插入(INSERT)对应记录的id、新的余额、当前时间和登录audit表格的用户的名称。实现中的例子：用触发器审计记录既然了触发器的基本原理，来看一个稍稍复杂的例子。常用触发器来建立一个自动“审计记录”，以记录各种用户对数据库的更改。为了解审计记录的实际应用，请看下面的表格(表格名：accounts)，它列出了一个用户的三个银行账户余额。(表A)mysql>SELECT * FROM accounts+----+------------+---------+| id | label| balance |+----+------------+---------+|1 | Savings #1 |500 ||2 | Current #1 |2000 ||3 | Current #2 |3500 |+----+------------+---------+3 rows in set (0.00 sec)表A然后，检查触发器是否被激活：mysql>SHOW TRIGGERS \G*************************** 1. row ***************************?Trigger: t1?Event: UPDATE?Table: accountsStatement: INSERT INTO audit (id, balance, user, time)VALUES (OLD.id, NEW.balance, CURRENT_USER(), NOW())Timing: AFTER?Created: NULLSql_mode:1 row in set (0.01 sec)再来看最后的结果(列表E)：mysql>UPDATE accounts SET balance = 500 WHERE id = 1Query OK, 1 row affected (0.00 sec)Rows matched: 1?Changed: 1?Warnings: 0mysql>UPDATE accounts SET balance = 900 WHERE id = 3Query OK, 1 row affected (0.01 sec)Rows matched: 1?Changed: 1?Warnings: 0mysql>UPDATE accounts SET balance = 1900 WHERE id = 1Query OK, 1 row affected (0.00 sec)Rows matched: 1?Changed: 1?Warnings: 0列表E注意，对accounts表格所作的改变已被记录到audit表格中，将来如果出现问题，可以方便地从中进行恢复。mysql>SELECT * FROM audit+------+---------+----------------+---------------------+| id| balance | user| time|+------+---------+----------------+---------------------+|1 |500 | root@localhost | 2006-04-22 12:52:15 ||3 |900 | root@localhost | 2006-04-22 12:53:15 ||1 |1900 | root@localhost | 2006-04-22 12:53:23 |+------+---------+----------------+---------------------+3 rows in set (0.00 sec)

---