工具研发者介绍
贺春旸,凡普金科和爱钱进DBA团队负责人,《MYSQL管理之道:性能调优、高可用与监控》之一、二版作者,曾任职于中国移动飞信、安卓机锋网。四次荣获dbaplus年度MVP,致力于MariaDB、MongoDB等开源技术的研究,主要负责数据库性能调优、监控和架构设计。本文摘自作者即将发布的新书《MySQL运维进阶指南》,敬请期待。
工具下载:
https://log***yzer.adiscon.com/download/
数据库审计日志平台简介
数据库审计日志平台(简称DB Audit),旨在实时记录用户操作数据库的行为,对操作进行细粒度审计的合规性管理,并对数据库遭受的风险行为进行实时告警。平台通过对用户访问数据库行为的记录、分析和汇报,来帮助DBA事后生成合规报告、事故追根溯源,同时通过搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库 *** 行为的监控与审计,提高数据资产安全。
目前有两种技术方案:
之一种:部署在数据库服务器所在的 *** ,采用旁路监听方式截取用户访问数据库的TCP头报文,该系统是由数据采集、数据处理和安全检测三个模块组成。
第二种:依赖于开启MariaDB Audit Plugin插件的审计 *** ,存在的弊端是数据库审计功能的开启会影响数据库本身的性能、审计日志以txt文本格式存放在本地磁盘里,对于审计数据的挖掘和迅速定位是个棘手问题。
在MariaDB 10.6版本里,可以通过使用Rsyslog日志系统将审计日志汇总至一台专用的MySQL数据库里,并且可以自定义事件记录,比如我们想追溯某时刻谁误删除了数据,可以禁止记录select查询操作,然后借助Log***yzer做展示,架构如下图所示:
注:Log***yzer是一款syslog日志和其它 *** 事件数据的Web前端,提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。
审计日志数据从专用存放syslog的数据库中获取,所以Log***yzer不需要改变现有的架构。通过对数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段、时间)实时监控来自各个层面的所有数据库活动(包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求,以及通过远程登录服务器后的操作请求等),让管理人员对用户的行为一目了然,真正做到数据库操作行为可监控、违规操作可追溯。
本文以第二种方案进行介绍,借助Log***yzer打造轻量级数据库审计日志平台。
部署步骤
环境概述:
MySQL/MariaDB主库安装Audit Plugin插件;MySQL/MariaDB主库配置Rsyslog使用ommysql模块;准备一台专用存放syslog审计日志的MySQL数据库服务器;准备LAMP环境,运行web可视化日志分析软件Log***yzer,可与专用存放syslog审计日志的MySQL数据库服务器部署在一起。数据库审计日志平台部署:
1、要启用MySQL/MariaDB主库节点的审计,我们首先需要将 MariaDB审计插件server_audit.so文件***到每个服务器的插件目录中,然后可以在所有节点上加载插件。
MySQL> INSTALL PLUGIN server_audit SONAME 'server_audit.so';
2、配置审计插件:MariaDB审计插件还支持使用Rsyslog来记录事件。Rsyslog本身为我们提供了很多选项,其中之一是将日志条目转发到远程Rsysog进程。为了能够使用本地syslog,我们需要更改参数变量server_audit_output_type的值。
MySQL> SET GLOBAL server_audit_output_type = syslog;
3、由于我们只想转发由MariaDB审计插件创建的syslog日志,我们将使用变量 server_audit_syslog_facility来为syslog配置过滤器。
MySQL> SET GLOBAL server_audit_syslog_facility = LOG_LOCAL6;
4、想追溯某时刻谁误删除误更改了数据,我们可以禁止记录select查询操作,需要更改参数变量server_audit_events的值。
MySQL> SET GLOBAL server_audit_events = 'QUERY_DDL , QUERY_DML_NO_SELECT';
只会记录增删改、DDL操作。
5、开启审计日志的记录。
MySQL> SET GLOBAL server_audit_logging = 1;
6、安装Rsyslog连接至MySQL的驱动模块:现在为MariaDB审计插件已经配置完毕。我们可以启用审计,但它只会写入本地系统日志/var/log/messages文件里,无法推送远程专用存放syslog审计日志的MySQL数据库服务器里。
Shell> yum install rsyslog-mysql -y
7、在专用存放syslog审计日志的MySQL数据库准备syslog的用户账号。
MySQL> GRANT ALL ON Syslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'rsyslogpass'; MySQL> GRANT ALL ON Syslog.* TO 'rsyslog'@'%' IDENTIFIED BY 'rsyslogpass';
8、生成存放syslog数据的库和表。
Shell> rpm -ql rsyslog-mysql /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql Shell> mysql -h127.0.0.1 -ursyslog -prsyslogpass < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
9、配置Rsyslog使用ommysql模块,将所期望的日志信息记录于MySQL数据库中。
Shell> vim /etc/rsyslog.conf #### MODULES #### ...... $ModLoad imUDP #加载udp的模块 $UDPServerRun 514 #允许接收udp 514的端口传来的日志 $ModLoad imtcp #加载tcp的模块 $InputTCPServerRun 514 #允许接收tcp 514的端口传来的日志 $ModLoad ommysql #加载mysql的模块
10、配置RULES,将所期望的日志信息记录于专用存放syslog审计日志的MySQL数据库服务器。
Shell> vim /etc/rsyslog.conf #### RULES #### $ActionOmmysqlServerPort 3306 local6.* :ommysql:192.168.198.239,Syslog,rsyslog,rsyslogpass
注:192.168.198.239这个IP,是syslog审计日志MySQL服务器地址,3306是MySQL端口号,ryslog是库名,ryslog是用户名,rsyslogpass是密码。
11、重启rsyslog服务。
Shell> systemctl restart rsyslog
至此rsyslog服务已经配置完毕。在MySQL/MariaDB主库上执行增删改、DDL操作,就会把审计日志推送至syslog审计日志MySQL服务器的Syslog库systemevents表里。
12、安装web可视化的日志分析软件log***yzer。
Shell> yum -y install httpd php php-mysql php-gd Shell> systemctl start httpd.service Shell> cd /var/www/html/ Shell> wget https://download.adiscon.com/log***yzer/log***yzer-4.1.12.tar.gz Shell> tar zxvf log***yzer-4.1.12.tar.gz Shell> mv log***yzer-4.1.12 log***yzer Shell> touch log***yzer-4.1.12/src/config.php Shell> chmod 755 log***yzer-4.1.12/src/config.php
打开浏览器,配置log***yzer软件,输入网址:http://yourip/log***yzer/src/install.php
source type:选MYSQL Nativeselect view:选Syslog FieldsTable type:选MonitorWaredatabase host:127.0.0.1database name:Syslogdatabase tablename:SystemEventsdatabase user:syslogdatabase password:写上之前你设定的sysylog用户的数据库密码最后点Next按钮,完成初始化log***yer。
点击可播放演示视频
下载方式
此工具现通过dbaplus社群免费为大家提供下载使用。若使用过程中有任何问题或建议,可随时与我们联系,欢迎大家试用。
登录以下链接即可下载:
https://log***yzer.adiscon.com/download/
更多开源工具&脚本下载
更多开源工具及脚本获取方式:
关注微信公众号【dbaplus社群】,点击菜单栏【资源下载】登陆dbaplus社群官网:http://dbaplus.cn/list-142-1.html>>>>
相关图谱推荐 - 分布式数据库评测指南
《分布式数据库评测指南》由dbaplus社群联合发起人韩锋老师与社群共同编制,浓缩了数据库选型评测项精要,评测维度覆盖6大功能(数据库基本功能、数据库内核功能、数据库管理功能、数据库架构功能、数据库开发功能、数据库其他功能)共300+技术项,明晰数据库选型要点及设计思路,让广大数据库从业者在选型路上不再迷茫。
获取方式:关注微信公众号【dbaplus社群】,消息栏回复【图谱】,即可获取下载链接
>>>>
相关活动推荐 - DAMS峰会·上海站
演讲嘉宾所在单位:中国信通院、京东、美团、字节跳动、蚂蚁集团、网易、新浪、携程、快手、唯品会、哔哩哔哩、vivo、工商银行、平安银行、光大银行、汇丰科技等产研界技术领跑单位。
演讲议题聚焦:
大数据&数据资产管理:数据治理丨存算分离丨云原生OLAP丨湖仓一体丨智能分析数据库:云原生分布式丨时间序列丨服务自治运维:AIOps丨故障根因分析丨性能优化丨在离线混部技术丨高可用建设金融科技:规模化监控丨实时数仓丨分布式改造丨国产化替代丨数字化转型点击评论区链接了解DAMS峰会更多详情及报名
关于我们
dbaplus社群是围绕Database、BigData、AIOps的企业级专业社群。资深大咖、技术干货,每天精品原创文章推送,每周线上技术分享,每月线下技术沙龙,每季度Gdevops&DAMS行业大会。
关注公众号【dbaplus社群】,获取更多原创技术文章和精选工具下载
