MySQL數據庫中怎么實(shí)現日志審計

數據庫中怎么實(shí)現日志審計，針對這個(gè)問(wèn)題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法。

0x0 背景 

由于MySQL社區版沒(méi)有自帶的審計功能或插件，對于等級保護當中對數據庫管理的要求的就存在一定的不滿(mǎn)足情況的，拋開(kāi)條條框框不說(shuō)數據庫的日志是值得研究的，通過(guò)收集數據庫的日志到企業(yè)SOC平臺便于安全事件的溯源與故障分析，配合目前的UEBA技術(shù)能夠輕松發(fā)現很多惡意事件。 

根據等級保護內容第四章“數據庫管理系統安全技術(shù)要求”中 第四節“數據庫安全審計”中明確提出數據庫管理系統的安全審計應：

1. 建立獨立的安全審計系統；

2. 定義與數據庫安全相關(guān)的審計事件；

3. 設置專(zhuān)門(mén)的安全審計員；

4. 設置專(zhuān)門(mén)用于存儲數據庫系統審計數據的安全審計庫；

5. 提供適用于數據庫系統的安全審計設置、分析和查閱的工具。 

0x1 部署插件

 為了節省購買(mǎi)一些安全設備的費用，可以嘗試使用一些開(kāi)源的日志審計插件。Mysql-audit是macfee公司基于percona開(kāi)發(fā)的MySQL的SQL審計插件。

源碼地址如下：https://github.com/mcafee/mysql-audit

首先確定當前mysql的版本去官網(wǎng)下載與之相對應的插件：

 解壓插件后需要確認mysql插件的安裝目錄：

將解壓出來(lái)的插件libaudit_plugin.so復制到插件的目錄下：

使用mysql的函數install plugin導入此插件后通過(guò)show plugin確認是否導入成功。

主要命令如下：

install plugin audit soname ‘libaudit_plugin.so’

安裝完成之后并不會(huì )立馬開(kāi)始審計內容，需要定義一些參數。    

Audit_json_file這個(gè)參數要整體控制是否開(kāi)啟審計功能使用命令：

Set variables audit_json_file=on

  開(kāi)啟審計功能：

審計后的記錄名可以通過(guò)查詢(xún)變量audit_json_log_file獲?。?   

Show variables like “audit_json_log_file”

默認的審計記錄格式如下：

Json格式如下：

同時(shí)插件支持一些自定義的參數與命令，包括白名單與黑名單的功能。

Audit_whitelist_users: 不審計user用戶(hù)的所有命令

Aduit_record_cmds: 需要進(jìn)行審計的命令種類(lèi)

更多的參數配置項目可以參考官方給的手冊：    

https://github.com/mcafee/mysql-audit/wiki/Configuration

0x2 總結

1. 通過(guò)插件的方式可以實(shí)現mysql日志的審計通過(guò)ELK的框架實(shí)現日志的保存與分析，再通過(guò)后期寫(xiě)一些腳本分析可以實(shí)現安全檢測與業(yè)務(wù)分析等多個(gè)功能，關(guān)鍵是零成本特別適合那些”一個(gè)人的安全部”有此需求的同行們. 

2. 根據一些測試數據表示，插件對性能的影響是比較大的約有20%左右的消耗需要結合具體的業(yè)務(wù)情況進(jìn)行評估。