目的

为了便于开发人员和DBA安装和使用MySQL审计插件，并对审计的使用和审计粒度有更全面的理解。本文对审计插件的设计思想、审计粒度、审计配置说明、安装使用、其他内容进行详细的描述。一方面便于后续的维护和开发，另一方面对于使用提供便利的查询。

设计思想

         MySQL的审计接口为开发审计插件提供了有利的条件，基于MySQL审计接口，参考General log设计思想，将审计插件的审计类型定义了：FILE和TABLE两种类型，用于将审计的内容分别写入日志文件或数据库表。此外，对审计的粒度进行划分，不仅根据操作命令的类型进行划分，并对Query命令类型进行进一步的细化分，将DDL、DML、DCL三种类型不同SQL语句类型进行划分；对特定的用户进行审计，仅对指定的用户审计，结合审计的粒度实现对用户行为的审计；对特定的对象（数据库、数据表）进行审计，目前仅给出配置，源码中暂时没有实现。

         此外，审计的粒度采用按位标示，并通过按位覆盖可以进行自定义的审计粒度。

审计粒度

         审计插件将审计的粒度细化到具体的SQL语句，主要包括：create、drop、alter、ddl（包括create、drop、alter）、insert、delete、update、modify（包括insert、delete、update、replace）、select、dml（包括insert、delete、update、select）、grant、revoke、dcl（包括grant、revoke）、set、cmd（包括ddl、dml、dcl、set）、connect、quit、connection（包括connect、quit）、server（包括修改server相关的命令操作，如init db、sleep等操作）、full（包括以上所有操作）、all（包括所有操作，包括预留的所有的审计粒度的扩展）、none（不进行审计），这些粒度在配置文件中的以audit_为前缀，值为1/0（或on/off）。为了更精确的控制某些命令，提供audit_ops参数，该参数的值是整数，通过整数的二进制位来控制具体的审计粒度。

         具体的审计粒度对应整数的二进制位如下所示：

以上定义中，预留了很多位，用于粒度的深化。audit_ops的指定有一定的风险，需要进行计算，不建议直接控制。

审计配置说明

         为了审计插件的独立性，对审计进行单独配置文件的控制，从而不影响数据库server的配置。此外，审计的配置与审计粒度、审计用户、审计文件地址、审计文件名、审计文件大小、审计类型有关。

审计用户格式为“,”分割的用户名列表；审计文件地址在linux下必须为mysql用户名和用户组，且mysql至少有W访问权限，如果指定审计文件大小，则需要有X权限；

审计文件名默认为mysql-audit，并且根据是否设置审计文件大小来创建文件。如果设置审计文件的大小，那么审计文件以日期为文件夹，以文件编号为后缀，且文件达到指定文件大小后，重新创建文件且文件编号递增。如：2012-6-20/mysql-audit.000000，如果未设置文件大小，则文件名以当前日期为后缀，如：mysql-audit. 2012-6-20；

审计文件大小格式为整数，或者整数加上单位，单位包括K、M、G。为了便于查看，不建议将该值设置的过大；

审计类型包括FILE、TABLE两种。目前仅FILE有效。

         此外，配置文件支持动态修改并生效的功能。审计配置文件修改后，将会重新加载配置选项。但鉴于性能问题，不建议频繁对配置文件进行修改。

安装使用

1 源码安装

         针对不同的MySQL源码和不同操作系统，建议使用源码进行编译安装。该插件基于Linux 64位操作系统、MySQL 5.5.15/5.5.20源码进行编译和测试通过，并提供二进制动态库供二进制安装，具体二进制安装见下一节内容。

1.1 源码获取

         1）审计插件源码

审计插件源码可以通过github获取最新版本。

github地址为：。

2）MySQL源码

MySQL源码可以从官网下载，本文推荐使用Percona Server 5.5版本。推荐理由是Percona Server针对MySQL源码基础之上，进行了改进，尤其是性能方面和参数选项方面。

1.2 拷贝插件源码

         1）解压数据库源码

2）拷贝插件到源码

将插件源码拷贝到mysql数据库源码的plugin文件夹下。

1.3、编译数据库源码

根据编译参数，对数据库源码进行编译，并安装。

         安装完成后，在MYSQL_HOME（安装路径，文中设置为/usr/local/mysql）的lib/plugin/下面，会有audit.so和audit.cnf文件。

1.4 设置审计参数

         根据审计需求，修改审计配置文件audit.cnf，对审计的选项参数、审计粒度进行设置。配置文件中对各个审计参数的功能进行了描述，可根据具体的需求设置。

1.5 创建审计路径

         根据配置文件中设置的audit_dir的路径，创建审计文件夹。审计文件夹必须是mysql可操作的文件夹，如果指定了审计文件大小，指定的审计文件夹对mysql必须有xw权限。

1.6 创建审计数据表

         启动MySQL数据库，使用mysql客户端登陆数据库，执行sql脚本audit.sql，创建mysql.audit表，用于存储审计内容。

1.7 安装审计插件

         启动MySQL数据库，使用mysql客户端登陆数据库后，执行安装插件命令。如下所示：

         安装完成后，会在指定审计文件夹下，生成.文件或/.000000。如果文件不存在，表示安装失败。

2 二进制安装

         二进制动态库目前仅提供基于Linux 64位操作系统、MySQL 5.5.15/5.5.20源码进行编译的审计插件动态库。

         在mysql-audit/script文件夹下，有对应的二进制库；mysql-audit/etc文件夹下，有配置文件。配置文件audit.cnf拷贝到MYSQL_HOME/lib/plugin/下，二进制库拷贝到MySQL Server的plugin_dir指定的地址。

         接下来的操作与源码安装一致，从步骤1.4开始进行下面操作即可。

3 自动化安装部署

         自动化安装部署，主要针对二进制文件的安装，通过执行脚本即可实现整个安装部署过程。因此，使用自动化脚本的前提是提供的二进制文件符合应用需求。具体如下：

         执行脚本的前提是已经获取mysql-audit。在此情况下，执行自动化脚本，可以安装部署成功。

具体脚本操作，可以通过执行：audit_build.sh -h 查看输入参数。举例如下：

4 插件卸载

         为了保证数据库的性能，可以卸载审计插件。使用mysql登陆数据库服务器，执行以下命令：

文件输出格式

         文件格式分为两种，分别为连接审计和操作审计。

1、连接审计

连接相关的审计日志信息的格式如下所示。

具体的：

[2012-06-20 15:40:39]：审计的时间。

[CONNECT]：为连接的类型；

status：为连接成功（0）或者失败（错误号）的状态；

user：为连接的用户名；

external-user：为外部连接的用户，在使用中间件或者代理服务的时候有效；

proxy-user：为代理服务的用户名；

host：表示连接的主机名；

ip：连接的ip地址；

database：表示连接的数据库名。

2、操作审计

操作相关的审计日志信息的格式如下所示。操作相关的命令包括CREATE、DROP、ALTER、INSERT、UPDATE、DELETE、GRANT、REVOKE等对数据或数据库有影响的操作。以下以CREATE为例，进行详细说明。

具体的：

[2012-06-20 15:40:39]：审计的时间。

[CREATE]为操作的类型；

error_code：为操作的错误码，操作成功为0；

thread_id：执行操作的线程id；

user：执行操作的用户名；

command：操作命令的类型，是数据库内部的定义，数据相关操作一般为Query；

query：操作的查询语句。

charset：操作的字符集类型；

time：执行操作的时间点，该值为从1970年以来的长整数。

rows：执行操作影响数据的行数。

数据表定义

常见错误

1、无法识别的audit.so。

解决：查看plugin_dir路径，在该路径下查看audit.so是否存在。

2、没有审计内容。

解决：首先确认指定的审计文件夹的权限是否符合，审计文件夹必须是mysql用户可以操作的目录，如果指定了审计文件大小，指定的审计文件夹必须有xw权限。

进一步工作

1、添加审计数据对象（数据库、数据表）功能。

2、完善查看审计参数状态，show status like ‘audit%’中动态显示当前参数状态。