曲靖网站设计公司,可信赖的网站建设推广,徐州建设网站公司,网站定制套餐背景#xff1a; 假设这么一个情况#xff0c;你是某公司mysql-DBA#xff0c;某日突然公司数据库中的所有被人为删了。 尽管有数据备份#xff0c;但是因服务停止而造成的损失上千万#xff0c;现在公司需要查出那个做删除操作的人。 但是拥有数据库操作权限的人很多 假设这么一个情况你是某公司mysql-DBA某日突然公司数据库中的所有被人为删了。 尽管有数据备份但是因服务停止而造成的损失上千万现在公司需要查出那个做删除操作的人。 但是拥有数据库操作权限的人很多如何排查证据又在哪 是不是觉得无能为力 mysql本身并没有操作审计的功能那是不是意味着遇到这种情况只能自认倒霉呢 本文就将讨论一种简单易行的用于mysql访问审计的思路。   关键字init—connect,binlog,trigger 概述 其实mysql本身已经提供了详细的sql执行记录–general log 但是开启它有以下几个缺点 无论sql有无语法错误只要执行了就会记录导致记录大量无用信息后期的筛选有难度。 sql并发量很大时log的记录会对io造成一定的印象是数据库效率降低。 日志文件很容易快速膨胀不妥善处理会对磁盘空间造成一定影响。 基本原理 由于审计的关键在于DML语句而所有的DML语句都可以通过binlog记录。 不过遗憾的是目前MySQL binlog 中只记录产生这条记录的connection id随连接数自增循环使用这对之后的反查没有任何帮助。 因此考虑通过init-connect在每次连接的初始化阶段记录下这个连接的用户和connection_id信息。 在后期审计进行行为追踪时根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析得出最后的结论  声明 本文只是探讨思路的可行性并没有经过严格的线上测试。请慎重使用在生产环境 正文 1. 设置init-connect 1.1创建用于存放连接信息的表 create database AuditDB default charset utf8; use AuditDB; create table accesslog (ID int primary key auto_increment,ConnectionID int, ConnUserName varchar(30), PrivMatchName varchar(30), LoginTIme timestamp);   1.2 保证所有的用户对此表有写权限 insert into db (Host,Db,User,Insert_priv) values (%,AuditDB,,Y);flush privileges;   1.3 设置init-connect 在my.cnf 中的 [mysqld] 的block 添加以下配置 init-connectinsert into AuditDB.accesslog (ConnectionID,ConnUserName,PrivMatchName,LoginTime) values(connection_id(),user(),current_user(),now()); log-bin1.4 重启数据库生效 service mysqld restart     2. 记录追踪 2.1 thread_id确认 假设想知道在2009年11月25日上午9点多的时候是谁吧test.dummy这个表给删了。可以用以下语句定位 mysqlbinlog –start-datetime’2009-11-25 09:00:00′ –stop-datetime’2009-11-25 09:00:00′  binlog.xxxx | grep ‘dummy’ -B 5 会得到如下结果(可见thread_id为5)   # at 300777#091124 16:54:00 server id 10 end_log_pos 301396 Query thread_id5 exec_time0 error_code0SET TIMESTAMP1259052840;drop table test.dummy;    2.2 用户确认 thread_id 确认以后找到元凶就只是一条sql语句的问题了。 select ID,LoginTime,PrivMatchName,ConnUserName fromAuditDB.accesslog where ConnectionID5 ; 就能发现是testuser2localhost干的了。   ————————————-——————————-—————————–| ID | LoginTime | PrivMatchName | ConnUserName |————————————-——————————-—————————–| 5 | 2009-11-25 10:57:39 | testuser2localhost | testuser2% |————————————-——————————-—————————–       3. QA Q使用init-connect会影响服务器性能吗 A理论上只会在用户每次连接时往数据库里插入一条记录不会对数据库产生很大影响。除非连接频率非常高当然这个时候需要注意的就是如何进行连接复用和控制而非是不是要用这种方法的问题了 Qaccess-log表如何维护? A: 由于是一个log系统推荐使用archive存储引擎有利于数据厄压缩存放。如果数据库连接数量很大的话建议一定时间做一次数据导出然后清表。 Q表有其他用途么 A有access-log表当然不只用于审计当然也可以用于对于数据库连接的情况进行数据分析例如每日连接数分布图等等只有想不到没有做不到。 Q会有遗漏的记录吗 A会的init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录这也是为什么我们不主张多个超级用户并且多人使用的原因。          转载于:https://www.cnblogs.com/cenalulu/archive/2012/05/09/2491736.html