Mysql访问日志记录
Mysql访问日志记录
假设这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查,证据又在哪?
是不是觉得无能为力?
mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于mysql访问审计的思路。
概述:
其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点
无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。
日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。
本文观点:
使用init-connect + binlog的方法进行mysql的操作审计。
由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。
因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。
正文:
- 设置init-connect
1.1 创建用于存放连接日志的数据库和表
create database accesslog;
CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))
1.2 创建用户权限
可用现成的root用户用于信息的读取
grant read on accesslog.* to root@localhost identified by ‘password’;
如果存在具有to . 权限的用户需要进行限制。
1.3 设置init-connect
在[mysqld]下添加以下设置:
init-connect=’insert into accesslog.accesslog values(connection_id(),user(),current_user(),now());’
log-bin
1.4 重启数据库生效
shell> service mysqld restart
- 记录追踪
2.1 thread_id确认
假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位
mysqlbinlog –start-datetime=’2009-11-25 09:00:00′ –stop-datetime=’2009-11-25 09:00:00′ binlog.xxxx | grep ‘dummy’ -B 5
会得到如下结果(可见thread_id为5):
# at 300777
#091124 16:54:00 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0
SET TIMESTAMP=1259052840;
drop table test.dummy;
2.2 用户确认
thread_id 确认以后,找到元凶就只是一条sql语句的问题了。
select * from accesslog.accesslog where conn_id=5 ;
就能发现是testuser2@localhost干的了。
+——+——————————-+——————————-+————————---—–+
| id | time | localname | matchname |
+——+——————————-+——————————-+————————----—–+
| 5 | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@% |
+——+——————————-+——————————-+————————----—–+
- Q&A
Q:使用init-connect会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)
Q:access-log表如何维护?
A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。
Q:表有其他用途么?
A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。
Mysql访问日志记录相关推荐
- Nginx开启访问日志记录
转载自 https://www.cnblogs.com/want990/p/11551440.html Nginx开启访问日志记录 vi /etc/nginx/nginx.conf 2.打开 log_ ...
- 2012文件服务器 读写日志,管理用户访问日志记录记录
管理用户访问日志记录记录 10/16/2017 本文内容 适用范围:Windows Server 2022.Windows Server 2019.Windows Server 2016.Window ...
- 【Spring MVC拦截器+logback日志+自定义注解】实现用户鉴权登陆和访问日志记录
摘要说明: 项目中经常这样的需要 1. 登陆鉴权:比如用户浏览器发出某个请求的时候我们需要判断这个用户是否已经登陆,也就是cookie中是否有他的登陆信息. 2. 访问日志记录:用户访问请求的时候我们 ...
- apache日志导入mysql,将Apache访问日志记录到Mysql数据库中
环境 操作系统:CentOS 步骤 1.下载源码 下载地址: https://packages.debian.org/jessie/libapache2-mod-log-sql-mysql 2.con ...
- mysql操作日志记录查询_详解mysql数据库参数log_timestamps--控制日志记录使用的时区...
概述 最近发现之前安装的MySQL 5.7.27,其中的error log.general log日志里面日志时间的时区不对. 思路: mysql 5.7.2新增了参数 log_timestamps, ...
- mysql开启日志记录
windwos下mysql开启日志,linux暂时没试过. general-log=1 log-output=FILE general-log-file="myq.log" 转载于 ...
- mysql下日志_浅谈mysql下日志记录
1,如何查看mysql执行命令历史 #.mysql_history 此文件记录了在mysql中执行命令的历史 2,事务日志: transaction log:事务型存储引擎自行的管理和使用. ...
- mysql开启日志记录及清理general_log文件
日志开启 set global log_output = 'TABLE'; set global general_log = 'ON'; 查看是否开启成功 show variables like '% ...
- nutz mysql druid_Druid-慢SQL日志记录 在nutz里datasource如何配置
谢谢^^ 做这种配置之后 info_slowsql.log输出来的日志无sql,请问一下是什么原因导致的? log4j的配置如下: log4j.rootLogger = info,stdout,D,n ...
最新文章
- Tengine高性能部署之—日志分割
- Swift中空合运算符、闭区间运算符、单侧区间、半开区间
- Java的基本数据类型
- oracle record is locked by another user
- beego ajax图片上传,Beego框架POST请求接收JSON数据
- 【数据分析】太秀了!用Excel也能实现和Python数据分析一样的功能!
- Linux Rsync 服务配置
- en55032最新标准下载_大型设备塔吊安装维保、安全检查及案例,94页PPT下载!
- php基础教程 第七步数组补充及循环基础
- 蓝桥杯 迷宫与陷阱 BFS
- 单调栈 leetcode整理(一)
- dwr 登录实现 (入门知识)
- 杭电2108判断凹凸边形
- wince -- 线程中SetEvent及WaitForSingleObject用法
- C#基础笔记(第十天)
- xcode快捷创建控件
- 各种开源项目/库/工具介绍
- 能被3整除的Fibonacci的下标号
- 帆软日期格式转换_自定义函数把阳历转换成阴历
- 解锁万亿级市场,边缘计算不“边缘”