标签:匹配 database mes 自己 等等 用户信息 日志文件 error 审计
利用init_connect参数记录用户登录信息说明:文章内容起源于网络并结合自己的实验而得;但参考的文章地址当时没记录下来,如果发现有侵权问题,请留言。
~
特别提醒:如果并发量比较高,该方式可能会影响性能,要充分评估后在使用。
假设有这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有数据被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查?证据又在哪?是不是觉得无能为力?
mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于mysql访问审计的思路。
其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:
1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。
3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。
使用init-connect + binlog的方法进行mysql的操作审计。
由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。
因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。
注意:
该表必须能被每个客户端使用(INSERT权限),不然无法记录,更严重的是如果对该表没有权限会导致账号无法登陆MySQL!!!
所以,建议5.6及之前的版本使用test这个默认的数据库,它默认可被所有用户使用,5.7之后只自己创建公共库或者对每个账号赋权;
这里以自建公共库为例:
mysql> create database mylog;
Query OK, 1 row affected (0.00 sec)
mysql> use mylog;
Database changed
mysql> create table accesslog (
`connection_id` int(11) not null comment ‘链接ID‘,
`account` varchar(100) comment ‘使用的账号‘,
`login_user` varchar(100) comment ‘登录用户‘,
`login_time` timestamp comment ‘登录时间‘,
primary key (connection_id)
)engine=innodb comment=‘账号登录信息‘;
Query OK, 0 rows affected (0.01 sec)备注:公共库的特点就是mysql.db表中对库的User字段为空,即没对库指定任何所有者。
1)先将自定义库赋权给一个用户,使其在mysql.db中拥有记录;
mysql> grant select,insert on mylog.* to abc@‘%‘; -- 这里abc@‘%‘账号已经是系统中存在的
Query OK, 0 rows affected (0.00 sec)2)修改自定义库在mysql.db中记录的User字段为空
mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘abc‘ ;
+-------------+-------------+------+------+
| Select_priv | Insert_priv | User | Host |
+-------------+-------------+------+------+
| Y | Y | abc | % |
+-------------+-------------+------+------+
1 row in set (0.00 sec)修改前要注意过滤条件是正确的,小心操作影响其他记录
mysql> update mysql.db set User=‘‘ where Db=‘mylog‘ and User=‘abc‘ ;
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0
mysql> select Select_priv,Insert_priv,User,Host,Db from mysql.db ;
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)mysql> show global variables like ‘init_connect‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| init_connect | |
+---------------+-------+
1 row in set (0.00 sec)设置登陆后被触发执行的插入操作。
mysql> set global init_connect=‘insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now());‘;
Query OK, 0 rows affected (0.00 sec)备注:如果是长期使用,可以将该配置写入配置文件。
查看设置后结果:
mysql> show global variables like ‘init_connect‘;
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| Variable_name | Value |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| init_connect | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)执行登录前:
mysql> select * from mylog.accesslog;执行登录操作:
[root@localhost ~]# mysql -ubook -p123456 -h192.168.32.2登录后:
mysql> select * from mylog.accesslog;
+---------------+---------------+----------------+---------------------+
| connection_id | account | login_user | login_time |
+---------------+---------------+----------------+---------------------+
| 26 | book@% | book@127.0.0.1 | 2020-05-07 11:45:11 |
+---------------+---------------+----------------+---------------------+
1 row in set (0.00 sec)可以看到,登录后book用户的登录信息被记录了下来。
1)取消参数配置
查询修改前参数值
mysql> show global variables like ‘init_connect‘;
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| Variable_name | Value |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| init_connect | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)还原参数值
mysql> set global init_connect=‘‘; 查看修改后参数内容
mysql> show global variables like ‘init_connect‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| init_connect | |
+---------------+-------+
1 row in set (0.00 sec)2)删除数据库权限记录信息
mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘‘ ;
+-------------+-------------+------+------+
| Select_priv | Insert_priv | User | Host |
+-------------+-------------+------+------+
| Y | Y | | % |
+-------------+-------------+------+------+
1 row in set (0.00 sec)修改前要注意过滤条件是正确的,小心操作影响其他记录
mysql> delete from mysql.db where Db=‘mylog‘ and User=‘‘ ;
Query OK, 1 row affected (0.00 sec)
mysql> select Insert_priv,User,Host,Db from mysql.db ;
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)3)删除自定义数据库
备注:操作前要确认库中只有我们要删除的日志表
mysql> show tables from mylog;
+-----------------+
| Tables_in_mylog |
+-----------------+
| accesslog |
+-----------------+
1 row in set (0.00 sec)
mysql> drop database mylog;
Query OK, 1 row affected (0.00 sec)假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位(-B线上匹配记录及其前共5行信息)
mysqlbinlog –start-datetime=‘2020-05-07 11:50:00‘ –stop-datetime=‘2020-05-07 11:55:00‘ binlog.xxxx | grep ‘dummy‘ -B 5 会得到如下结果(可见thread_id为5):
# at 300777
#200507 11:50:11 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0
SET TIMESTAMP=1259052840;
drop table test.dummy;thread_id 确认以后,找到元凶就只是一条sql语句的问题了。
mysql> select * from mylog.accesslog where connection_id=5 ;就能发现是testuser2@127.0.0.1干的了。
+---------------+---------------+---------------------+--------------------------+
| connection_id | account | login_user | login_time |
+---------------+---------------+---------------------+--------------------------+
| 5 | testuser2@% | testuser2@127.0.0.1 | 2020-05-07 11:50:11 |
+---------------+---------------+---------------------+--------------------------+
1 row in set (0.00 sec)Q:使用init_connect会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)
Q:access-log表如何维护?
A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。
Q:表有其他用途么?
A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。
标签:匹配 database mes 自己 等等 用户信息 日志文件 error 审计
原文地址:https://blog.51cto.com/4709096/2493095
