利用init_connect参数记录用户登录信息
说明:文章内容起源于网络并结合自己的实验而得;但参考的文章地址当时没记录下来,如果发现有侵权问题,请留言。
~
特别提醒:如果并发量比较高,该方式可能会影响性能,要充分评估后在使用。
一、场景:
假设有这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有数据被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查?证据又在哪?是不是觉得无能为力?
mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于mysql访问审计的思路。
二、概述:
其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:
1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。
3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。
三、本文观点:
使用init-connect + binlog的方法进行mysql的操作审计。
由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。
因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。
四、正文:
1.创建用于存放连接日志的数据库和表
注意:
该表必须能被每个客户端使用(INSERT权限),不然无法记录,更严重的是如果对该表没有权限会导致账号无法登陆MySQL!!!
所以,建议5.6及之前的版本使用test这个默认的数据库,它默认可被所有用户使用,5.7之后只自己创建公共库或者对每个账号赋权;
这里以自建公共库为例:
mysql> create database mylog; Query OK, 1 row affected (0.00 sec) mysql> use mylog; Database changed mysql> create table accesslog ( `connection_id` int(11) not null comment ‘链接ID‘, `account` varchar(100) comment ‘使用的账号‘, `login_user` varchar(100) comment ‘登录用户‘, `login_time` timestamp comment ‘登录时间‘, primary key (connection_id) )engine=innodb comment=‘账号登录信息‘; Query OK, 0 rows affected (0.01 sec)
2.将自定义库设置为公共库
备注:公共库的特点就是mysql.db表中对库的User字段为空,即没对库指定任何所有者。
1)先将自定义库赋权给一个用户,使其在mysql.db中拥有记录;
mysql> grant select,insert on mylog.* to ‘%‘; -- 这里‘%‘账号已经是系统中存在的 Query OK, 0 rows affected (0.00 sec)
2)修改自定义库在mysql.db中记录的User字段为空
mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘abc‘ ; +-------------+-------------+------+------+ | Select_priv | Insert_priv | User | Host | +-------------+-------------+------+------+ | Y | Y | abc | % | +-------------+-------------+------+------+ 1 row in set (0.00 sec)
修改前要注意过滤条件是正确的,小心操作影响其他记录
mysql> update mysql.db set User=‘‘ where Db=‘mylog‘ and User=‘abc‘ ; Query OK, 1 row affected (0.00 sec) Rows matched: 1 Changed: 1 Warnings: 0 mysql> select Select_priv,Insert_priv,User,Host,Db from mysql.db ; mysql> flush privileges; Query OK, 0 rows affected (0.00 sec)
3.设置init_connect
mysql> show global variables like ‘init_connect‘; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | init_connect | | +---------------+-------+ 1 row in set (0.00 sec)
设置登陆后被触发执行的插入操作。
mysql> set global init_connect=‘insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now());‘; Query OK, 0 rows affected (0.00 sec)
备注:如果是长期使用,可以将该配置写入配置文件。
查看设置后结果:
mysql> show global variables like ‘init_connect‘; +---------------+-------------------------------------------------------------------------------------------------------------------------------+ | Variable_name | Value | +---------------+-------------------------------------------------------------------------------------------------------------------------------+ | init_connect | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); | +---------------+-------------------------------------------------------------------------------------------------------------------------------+ 1 row in set (0.00 sec)
4.验证
执行登录前:
mysql> select * from mylog.accesslog;
执行登录操作:
[ ~]# mysql -ubook -p123456 -h192.168.32.2
登录后:
mysql> select * from mylog.accesslog; +---------------+---------------+----------------+---------------------+ | connection_id | account | login_user | login_time | +---------------+---------------+----------------+---------------------+ | 26 | % | | 2020-05-07 11:45:11 | +---------------+---------------+----------------+---------------------+ 1 row in set (0.00 sec)
可以看到,登录后book用户的登录信息被记录了下来。
5.事后取消设置
1)取消参数配置
查询修改前参数值
mysql> show global variables like ‘init_connect‘; +---------------+-------------------------------------------------------------------------------------------------------------------------------+ | Variable_name | Value | +---------------+-------------------------------------------------------------------------------------------------------------------------------+ | init_connect | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); | +---------------+-------------------------------------------------------------------------------------------------------------------------------+ 1 row in set (0.00 sec)
还原参数值
mysql> set global init_connect=‘‘;
查看修改后参数内容
mysql> show global variables like ‘init_connect‘; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | init_connect | | +---------------+-------+ 1 row in set (0.00 sec)
2)删除数据库权限记录信息
mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘‘ ; +-------------+-------------+------+------+ | Select_priv | Insert_priv | User | Host | +-------------+-------------+------+------+ | Y | Y | | % | +-------------+-------------+------+------+ 1 row in set (0.00 sec)
修改前要注意过滤条件是正确的,小心操作影响其他记录
mysql> delete from mysql.db where Db=‘mylog‘ and User=‘‘ ; Query OK, 1 row affected (0.00 sec) mysql> select Insert_priv,User,Host,Db from mysql.db ; mysql> flush privileges; Query OK, 0 rows affected (0.00 sec)
3)删除自定义数据库
备注:操作前要确认库中只有我们要删除的日志表
mysql> show tables from mylog; +-----------------+ | Tables_in_mylog | +-----------------+ | accesslog | +-----------------+ 1 row in set (0.00 sec) mysql> drop database mylog; Query OK, 1 row affected (0.00 sec)
五、用于记录追踪
1.thread_id确认
假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位(-B线上匹配记录及其前共5行信息)
mysqlbinlog –start-datetime=‘2020-05-07 11:50:00‘ –stop-datetime=‘2020-05-07 11:55:00‘ binlog.xxxx | grep ‘dummy‘ -B 5
会得到如下结果(可见thread_id为5):
# at 300777 #200507 11:50:11 server id 10 end_log_pos 301396 Query thread_id=5 exec_time=0 error_code=0 SET TIMESTAMP=1259052840; drop table test.dummy;
2.用户确认
thread_id 确认以后,找到元凶就只是一条sql语句的问题了。
mysql> select * from mylog.accesslog where connection_id=5 ;
就能发现是干的了。
+---------------+---------------+---------------------+--------------------------+ | connection_id | account | login_user | login_time | +---------------+---------------+---------------------+--------------------------+ | 5 | % | | 2020-05-07 11:50:11 | +---------------+---------------+---------------------+--------------------------+ 1 row in set (0.00 sec)
六、Q&A
Q:使用init_connect会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)
Q:access-log表如何维护?
A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。
Q:表有其他用途么?
A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。
Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。