Mariadb 审计插件安装、开启与设定

mariadb audit （mariadb server_audit.so  安装）

在大家常接触的数据库里oracle、mysql、mariadb、sql server 都会有相关的审计需求，但是它们的增加审计的操作方式却不太相同，下面就我个人的经验，讲讲mariadb审计插件的安装。

经过试验发现，在mysql上的审计插件libaudit_plugin.so，并不适用于mariadb。后来在mariadb中发现，它自己就带有插件，只是尚未安装在数据库而已，所以我们只要动个手进行安装即可。

1.首先登入数据库，去查看Mariadb是否已经安装了审计插件

MariaDB [(none)]> show global variables like '%audit%';

Empty set (0.00 sec)

如上所示，并没有安装，那我们就去看看数据库里存放安装审计插件的路径是在哪里

MariaDB [(none)]> SHOW VARIABLES LIKE 'plugin_dir';

+---------------+--------------------------+

| Variable_name | Value |

+---------------+--------------------------+

| plugin_dir  |/usr/lib64/mysql/plugin/|

+---------------+--------------------------+

1 row in set (0.00 sec)

我数据库的版本

MariaDB [(none)]> select version();

+----------------+

| version()|

+----------------+

| 5.5.52-MariaDB |

+----------------+

1 row in set (0.00 sec)

2.进入到审计插件的路径看看，审计插件的名字是什么

[root@~]cd /usr/lib64/mysql/plugin/

你会发现有一个server_audit.so，它就是我们要找的主角了

3.既然知道审计插件的名了，我们就直接到数据库里面安装了

MariaDB [(none)]> install plugin server_audit soname 'server_audit.so';

Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> flush privileges;

Query OK, 0 rows affected (0.00 sec)

4.查看下，是否安装完毕

MariaDB [(none)]> show global variables like '%audit%';

+-------------------------------+-------------------------+

| Variable_name  | Value |

+----------------------------------------------------------+

| server_audit_events   |           |

| server_audit_excl_users  |    |

| server_audit_file_path  | server_audit.log |

| server_audit_file_rotate_now   | OFF |

| server_audit_file_rotate_size  | 1000000 |

| server_audit_file_rotations  | 9 |

| server_audit_incl_users    |       |

| server_audit_loc_info    |OOOOOOOO……OOO |

| server_audit_logging    | OFF |

| server_audit_mode       | 0  |

| server_audit_output_type   | file  |

| server_audit_query_log_limit   | 1024    |

| server_audit_syslog_facility   | LOG_USER |

| server_audit_syslog_ident    | mysql-server_auditing |

| server_audit_syslog_info      |       |

| server_audit_syslog_priority   | LOG_INFO |

+-------------------------------+--------------------------+

16 rows in set (0.00 sec)

5.进行需求操作

开启审计

MariaDB [(none)]> set global server_audit_logging=on;

设定审计日志路径

MariaDB [(none)]> set global server_audit_file_path='/data0/mariadb/auditlog/';

设置审计日志事件的操作指令内容

MariaDB [(none)]> set global server_audit_events='QUERY_DDL,QUERY_DML';

扩大server_audit.log的限制大小后再进行轮替日志

MariaDB [(none)]> set global server_audit_file_rotate_size='200000000';

增加日志数量限制数

MariaDB [(none)]> set global server_audit_file_rotations='200';

设定需要进行审计的用户

MariaDB [(none)]> set global server_audit_incl_users='root';

设置免审计的用户

MariaDB [(none)]> set global server_audit_excl_users='z';

设置ident,作为syslog记录的一部分

MariaDB [(none)]> set global server_audit_syslog_ident='mysql-server_auditing';

6.再次查看状态

MariaDB [(none)]> show global variables like '%audit%';

+-------------------------------+------------------------------+

| Variable_name                       | Value  |                 

+--------------------------------------------------------------+

| server_audit_events               | QUERY_DDL,QUERY_DML|

| server_audit_excl_users          | z     |

| server_audit_file_path            | /data0/mariadb/auditlog/ |

| server_audit_file_rotate_now  | OFF  |

| server_audit_file_rotate_size   | 200000000 |

| server_audit_file_rotations      | 200 |

| server_audit_incl_users           | root |

| server_audit_loc_info              | OOOOO… OOOOOOOOO |

| server_audit_logging              | ON |

| server_audit_mode                 | 0  |

| server_audit_output_type       | file  |

| server_audit_query_log_limit   | 1024 |

| server_audit_syslog_facility     | LOG_USER |

| server_audit_syslog_ident       | mysql-server_auditing|

| server_audit_syslog_info         |   |

| server_audit_syslog_priority    | LOG_INFO |

+-------------------------------+-------------------------------+

16 rows in set (0.00 sec)

7.查看审计插件是否运行

MariaDB [(none)]> show global variables like '%audit%';

+----------------------------+-----------------+

| Variable_name            | Value |                                  

+------------------------|-----------------+

| server_audit_active       |ON |

| server_audit_current_log  |server_audit.log| 

| server_audit_last_error     |     |

| server_audit_writes_failed |0 |

+----------------------------+-----------------+

4 rows in set (0.00 sec)

从上面显示的结果可以知道server_audit_active=on,说明审计工作正在进行

8.在mariadb内设置审计的相关设定，会在数据库重启的时候会失效，为了不失效，可以在数据库设定文件上做文章

vim /etc/my.cnf

在[mysqld]下面添加

server_audit=FORCE_PLUS_PERMANENT  --防止审计插件被卸载

server_audit_logging=ON    --开启审计日志

server_audit_excl_users='z'  --不在审计内的用户

server_audit_file_rotate_size=2000000  --审计日志文件轮替限制大小

server_audit_file_rotations=200  --审计轮替日志限制数

server_audit_excl_users='root'   --审计在内的用户

server_audit_events='query_ddl,query_dml';   --审计日志事件的操作指令内容

重启mariadb数据库服务即可。

上述步骤是我在CentOS72. 上对mariadb-5.5.52的审计插件安装、开启与设定的所有操作。

另附上：mariadb官网参考文档:https://mariadb.com/kb/en/mariadb/about-the-mariadb-audit-plugin/