MySql中怎么配置日志審計

中怎么配置日志審計，相信很多沒(méi)有經(jīng)驗的人對此束手無(wú)策，為此本文總結了問(wèn)題出現的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

一、Mysql審計配置

1、審計方法選擇

使用數據庫審計插件開(kāi)啟數據庫審計會(huì )犧牲部分數據庫性能，建議根據實(shí)際業(yè)務(wù)情況選擇審計插件或旁路部署審計設備。

常見(jiàn)的mysql免費審計插件：mariadb  audit plugin, macfee  mysql-audit

我們以mariadb audit plugin為例來(lái)完成配置安裝與分析。

2、審計插件安裝與配置

環(huán)境：windows server 2008 R2，phpstudy8.1，mysql 5.5.29，sqli-labs

官網(wǎng)下載mariadb-5.5.68 版本，使用命令行執行以下命令，解壓到目標目錄

msiexec /a "d:\mariadb-5.5.68-winx64.msi" /qb TARGETDIR="D:\abc"

在MariaDB 5.5\lib\plugin目錄中提取需要的插件server_audit.dll，打開(kāi)mysql命令行，查詢(xún)plugin目錄

復制server_audit.dll到插件目錄，mysql命令行安裝插件，查詢(xún)插件狀態(tài)

查詢(xún)server_audit插件狀態(tài)配置，默認為關(guān)閉狀態(tài)，開(kāi)啟日志審計

這些參數的具體定義：

server_audit_events    
指定記錄到日志的event類(lèi)型，可以用逗號分隔的多個(gè)值(connect,query,table,query_ddl等)，如果開(kāi)啟了查詢(xún)緩存(query cache)，查詢(xún)直接從查詢(xún)緩存返回數據，將沒(méi)有table記錄
server_audit_excl_users
該列表的用戶(hù)行為將不記錄，connect將不受該設置影響
server_audit_file_path    
審計日志路徑，如果server_audit_output_type為FILE，審計日志默認存于數據目錄下。即參數datadir對應的數據目錄下面。如果修改server_audit_file_path，之前舊的審計日志文件不會(huì )被刪除。需要手工去清理、刪除。另外MySQL會(huì )開(kāi)始新的審計日志輪轉。
server_audit_file_rotate_now
強制輪轉一次，執行腳本SET GLOBAL server_audit_file_rotate_now = ON;后，審計日志就會(huì )強制輪轉一次。
server_audit_file_rotate_size
限制單個(gè)輪轉審計日志大小，超出該限值后自動(dòng)輪轉。默認值為1000000，單位為byte,建議設置稍微大一點(diǎn)，例如,64M大小，67108864。具體根據實(shí)際需求和參數server_audit_file_rotations一起設定。
server_audit_file_rotations 
輪轉日志總數，當設為0表示審計日志不輪轉。默認值為9。 一般需要根據實(shí)際需求進(jìn)行修改。
server_audit_incl_users    
指定哪些用戶(hù)的活動(dòng)將記錄到審計日志，connect將不受此變量影響，該變量比server_audit_excl_users 優(yōu)先級高
server_audit_loc_info   
這個(gè)是插件內部使用的參數，對用戶(hù)沒(méi)有什么意義。在早期版本中，用戶(hù)將其視為只讀變量，在更高版本中，它對用戶(hù)不可見(jiàn)。   
server_audit_logging      
審計功能的開(kāi)關(guān)， ON表示開(kāi)啟審計功能，OFF表示關(guān)閉審計功能。
server_audit_mode    
標識版本，用于開(kāi)發(fā)測試。對于用戶(hù)而言，此變量沒(méi)有任何特殊含義。 它的值主要反映了啟動(dòng)插件所使用的版本，供開(kāi)發(fā)人員用于測試      
server_audit_output_type    
指定審計日志的類(lèi)型，有SYSLOG 或FILE兩種選擇，默認為FILE
server_audit_query_log_limit
記錄中查詢(xún)字符串的長(cháng)度限制。默認為1024
server_audit_syslog_facility
當審計日志類(lèi)型為syslog模式時(shí)，它定義了將發(fā)送到系統日志的記錄的“功能”。 以后可以使用此參數過(guò)濾日志。
server_audit_syslog_ident  
設置ident，作為每個(gè)syslog記錄的一部分 
server_audit_syslog_info    
指定的info字符串將添加到syslog記錄
server_audit_syslog_priority
定義記錄日志的syslogd priority

3、error日志

查詢(xún)err日志的路徑。至此日志配置與所需的文件已備齊，以審計日志server_audit.log和data.err為基礎進(jìn)行入侵分析。

二、實(shí)戰思路

通過(guò)搭建sqli-labs測試環(huán)境，根據mysql日志，分析mysql暴力破解，手工注入，sqlmap os-shell三種攻擊模式的日志記錄，盡可能的還原攻擊場(chǎng)景，追溯攻擊源信息。

1、mysql暴力破解

mysql對外開(kāi)放端口，使用mysql暴力破解時(shí)的日志信息

data.err  中記錄了攻擊的ip地址和第一次連接的時(shí)間

200909 10:15:41 [Warning] IP address '192.168.106.180' could not be resolved: 不知道這樣的主機。

server_audit.log  從下圖可以看出，攻擊者多線(xiàn)程破解，破解的賬號root，攻擊者ip 192.168.106.180，返回代碼1045，登陸成功后的執行了4個(gè)查詢(xún)操作。

日志格式為：

[timestamp],[serverhost],[username],[host],[connectionid],[queryid],QUERY,[database],[object], [retcode]

可以根據 賬號，ip地址，返回代碼進(jìn)行日志篩選分析，登陸后查詢(xún)操作特征，可以推測使用的破解工具。

2、sql注入攻擊

使用sqli-labs模擬存在漏洞的應用，github下載sqli-labs代碼復制到phpstudy  www目錄，運行項目，通過(guò)手動(dòng)輸入獲取webshell。

模擬場(chǎng)景：已知服務(wù)器被執行phpinfo，疑似被入侵，需要通過(guò)日志分析入侵點(diǎn)與獲得權限的方法。

此次data.err無(wú)變化，我們分析nginx的access.log 和審計插件的server_audit.log

發(fā)現access.log和server_audit.log均記錄了攻擊是sql注入，并通過(guò)mysql outfile寫(xiě)入后門(mén)到web目錄，執行了phpinfo，觸發(fā)報警。由于access.log不記錄post請求的請求體，故server_audit.log可以看到更詳細的攻擊細節。

3、sqlmap os-shell攻擊

通過(guò)sqlmap獲取mysql os-shell，分析os-shell過(guò)程，日志有哪些特征

模擬場(chǎng)景：假設在場(chǎng)景2中，sql注入攻擊時(shí)，應用方修復了sql漏洞，并對web目錄進(jìn)行了權限限制，監控又發(fā)現了命令執行的報警，嘗試分析入侵點(diǎn)。

sqlmap -d "mysql://root:root@192.168.x.x:3306/mysql" --os-shell，成功后執行whoami

查看server_audit.log日志，可以看到sqlmap os-shell執行的完整過(guò)程,包括探測mysql版本，字符集，操作系統類(lèi)型，如何用實(shí)現udf實(shí)現命令執行等。

日志里包含了很多sqlmap的特征，udf達到命令執行的特征，可結合其他日志初步判斷為mysql密碼泄露導致的udf命令執行。

命令執行時(shí)的錯誤會(huì )被錯誤日志data.err記錄，引用一個(gè)mysql勒索病毒的日志截圖，暴漏了攻擊者控制的服務(wù)器地址信息。