MySQL 需组合日志与插件实现审计:开启通用日志追踪行为,启用 ROW 格式二进制日志还原变更,配置最小权限并使用 Percona 等审计插件,结合脚本审查与 SIEM 告警形成闭环。
MySQL 本身不提供开箱即用的完整用户行为追踪与安全审计功能,但可通过组合配置、日志机制和外部 工具 实现较全面的审计能力。核心在于开启并合理使用 MySQL 的通用查询日志(General Query Log)、慢查询日志(Slow Query Log)、二进制日志(Binary Log),配合权限控制与第三方审计插件。
启用通用查询日志记录所有操作
通用查询日志会记录客户端连接、断开及每条执行的 SQL 语句(含 SELECT),适合基础行为追踪。
- 在 my.cnf 中添加:
general_log = ON
general_log_file = /var/log/mysql/general.log - 注意:该日志无过滤、无权限区分,生产环境开启会影响性能,建议仅短期开启或用于调试审计
- 日志格式为纯文本,可直接用 grep 或日志分析工具提取指定用户(如
grep "user@host" general.log)
利用二进制日志还原操作轨迹
Binary Log 记录所有修改数据的语句(INSERT/UPDATE/DELETE/DDL),是事后追溯变更的关键依据,也支持主从同步和基于时间点恢复。
- 确保已启用:log_bin = ON(需重启 MySQL),并设置 binlog_format = ROW(推荐)或 STATEMENT
- ROW 格式可精确记录每行变更内容(含原值与新值),比 STATEMENT 更利于审计分析
- 使用 mysqlbinlog 工具解析:
mysqlbinlog --base64-output=DECODE-ROWS -v mysql-bin.000001 | grep -A2 -B2 "username"
配置细粒度权限与审计插件
仅靠日志不够主动防御,需结合权限最小化原则 + 审计插件增强管控能力。
- 禁用匿名用户、删除 test 数据库、限制 root 远程登录;为业务账号分配最小必要权限(如只读账号不用 GRANT INSERT)
- MySQL 5.7+ 社区版支持 audit_log 插件(需企业版或第三方替代方案),开源替代如 Percona Audit Log Plugin 或 MariaDB Audit Plugin
- 插件可按用户、命令类型(SELECT/DELETE)、数据库名等条件过滤记录,并输出为 JSON 格式,便于接入 SIEM 系统(如 ELK、Splunk)
定期审查与自动化告警
日志本身只是数据源,需建立审查机制才能形成有效审计闭环。
- 编写脚本每日检查异常行为:如非工作时间大量 DELETE、高危语句(DROP TABLE、GRANT ALL)、失败登录次数突增
- 将关键日志接入集中日志平台,设置规则触发邮件 /钉钉 告警(例如:同一 IP 10 分钟内 5 次登录失败)
- 保留日志至少 90 天(满足常见合规要求),并确保日志文件权限为 640,仅 DBA 和审计账户可读
