MySQL审计功能如何开启与配置？

MySQL审计功能如何开启与配置？

MySQL作为广泛应用的开源关系型数据库，其安全性与合规性在企业级应用中至关重要。其中，审计功能（Audit）用于记录用户对数据库的操作行为，是满足安全合规要求的重要手段。

一、理解MySQL审计机制

MySQL本身并未默认启用完整的审计功能，但提供了几种方式实现操作日志记录：

• 通用查询日志（General Query Log）：记录所有客户端发送到服务器的SQL语句。
• 慢查询日志（Slow Query Log）：记录执行时间超过指定阈值的SQL语句。
• Audit Log插件（仅限企业版）：提供更细粒度的审计能力，支持过滤和结构化输出。

从功能完整性来看，audit_log插件是企业环境中推荐的选择。

二、使用通用日志进行基础审计

适用于临时调试或非生产环境下的操作记录。

1. 启用通用日志

-- 查看当前状态
SHOW VARIABLES LIKE 'general_log%';

-- 开启通用日志
SET GLOBAL general_log = 'ON';

2. 设置日志路径与格式

-- 设置日志文件路径
SET GLOBAL general_log_file = '/var/log/mysql/general.log';

-- 日志格式可选为 FILE 或 TABLE
SET GLOBAL log_output = 'FILE';  -- 或 'TABLE'

3. 注意事项

• 性能影响较大，尤其在高并发场景下；
• 日志内容不区分用户权限或操作类型；
• 无法灵活过滤或分类事件。

三、使用Audit Log插件进行高级审计（企业版）

MySQL Enterprise Audit基于audit_log插件，提供强大的审计控制能力。

1. 插件加载与验证

-- 加载插件
INSTALL PLUGIN audit_log SONAME 'libaudit_plugin.so';

-- 查看插件是否加载成功
SELECT * FROM information_schema.plugins WHERE plugin_name = 'audit_log';

2. 配置审计日志参数

在my.cnf或my.ini中添加如下配置：

[mysqld]
plugin_load_add=audit_log.so
audit_log_format=NEW_JSON
audit_log_file=/var/log/mysql/audit.log
audit_log_rotate_on_size=104857600  # 100MB
audit_log_strategy=PERFORMANCE

3. 过滤审计事件

可通过设置audit_log_include_accounts和audit_log_exclude_accounts来筛选审计对象。

-- 只审计特定账户
SET GLOBAL audit_log_include_accounts='root@localhost,dba_user@example.com';

4. 日志轮转与管理

支持按大小轮转，也可结合外部工具如logrotate进行归档和压缩。

四、常见问题及解决方案

五、保障审计日志的安全性

审计日志一旦生成，必须确保其不可篡改性和保密性：

• 设置严格的文件系统权限，禁止非授权访问；
• 将日志存储于独立且受保护的日志服务器；
• 定期备份日志文件；
• 结合SIEM系统（如Splunk、ELK）进行集中分析与告警。

六、总结建议

根据业务需求选择合适的审计方案：

• 开发/测试环境可用通用日志；
• 生产环境优先使用audit_log插件；
• 结合日志管理平台实现统一审计与监控。