确认mysql是否支持审计插件,企业版自带audit_log,社区版需安装第三方插件;2. 社区版可使用McAfee开源插件,下载libaudit_plugin.so并安装;3. 在my.cnf中配置plugin-load、audit_json_log_file等参数启用json日志记录;4. 重启MySQL服务使配置生效,并验证审计日志生成情况。正确配置后可实现启动时自动开启审计,记录登录、查询等操作,满足安全合规要求。
MySQL 启动时启用安全审计功能,主要是通过加载企业版的 Audit Plugin(如 MySQL Enterprise Audit)来实现。社区版 MySQL 本身不包含该插件,但可以通过第三方审计插件(如 mariadb 的 audit plugin 或 McAfee 开源审计插件)实现类似功能。以下是配置 MySQL 安全审计功能的常用方法。
1. 确认是否支持审计插件
MySQL 企业版自带 audit_log 插件,而社区版默认不提供。可先检查是否支持:
登录 MySQL 执行:
select * FROM information_schema.plugins WHERE plugin_name LIKE ‘%audit%’;
若返回空结果,则需要手动安装第三方审计插件。
2. 使用 McAfee MySQL Audit Plugin(适用于社区版)
McAfee 提供的开源审计插件可用于社区版 MySQL,支持记录登录、查询、权限变更等操作。
配置步骤如下:
- 下载对应版本的 libaudit_plugin.so(从 gitHub 开源项目获取,如 https://github.com/mcafee/mysql-audit)
- 将插件复制到 MySQL 插件目录(可通过 SHOW varIABLES LIKE ‘plugin_dir’; 查看路径)
- 在 MySQL 中安装插件:
INSTALL PLUGIN AUDIT SONAME ‘libaudit_plugin.so’;
- 验证是否加载成功:
SELECT PLUGIN_NAME, PLUGIN_STATUS FROM information_schema.plugins WHERE PLUGIN_NAME = ‘AUDIT’;
3. 配置审计日志参数
通过设置插件参数控制审计行为。以 McAfee 插件为例,在 my.cnf 配置文件中添加:
[mysqld]
plugin-load=audit=libaudit_plugin.so
audit_json_file=1
audit_json_log_file=/var/log/mysql/audit.log
audit_record_cmds=connect,query,shutdown
audit_record_objs=*
关键参数说明:
- audit_json_file:启用 JSON 格式日志
- audit_json_log_file:指定审计日志路径
- audit_record_cmds:记录的命令类型(如 connect、query)
- audit_record_objs:记录操作的对象表
4. 设置启动项并重启 MySQL
确保插件随 MySQL 自动加载。在 my.cnf 中已配置 plugin-load 后,重启服务生效:
systemctl restart mysql
或使用:
service mysql restart
重启后检查日志文件是否存在,并确认有审计记录写入。
基本上就这些。只要插件正确安装并配置启动参数,MySQL 就能在每次启动时自动开启审计功能,记录关键操作行为,满足基本的安全合规需求。注意定期归档和保护审计日志文件,防止被篡改或删除。