借助LogAnalyzer打造轻量级数据库审计日志平台

数据库审计平台（简称DB Audit），实时记录用户操作数据库的行为，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。通过对用户访问数据库行为记录、分析和汇报，来帮助DBA事后生成合规报告、事故追根溯源，同时通过搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

目前有两种技术方案。

第一种：是部署在数据库服务器的所在网络，采用旁路监听方式截取用户访问数据库的TCP头报文，该系统是由数据采集、数据处理和安全检测三个模块组成。

第二种：依赖于开启MariaDB Audit Plugin插件的审计方法，存在的弊端是数据库审计功能的开启会影响数据库本身的性能、审计日志以txt文本格式存放在本地磁盘里，对于审计数据的挖掘和迅速定位是个棘手的问题。

在MariaDB 10.6版本里，可以通过使用Rsyslog日志系统将审计日志汇总至一台专用的MySQL数据库里，并且我们可以自定义事件记录。比如我们想追溯某时刻谁误删除了数据这一需求，那么我们可以禁止记录select查询操作，然后借助Loganalyzer做展示，架构如下图所示。

注：Loganalyzer是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。

审计日志数据从专用存放syslog的数据库中获取，所以LogAnalyzer不需要改变现有的架构。通过对数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、时间）实时监控来自各个层面的所有数据库活动（包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等）。使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控，违规操作可追溯。

本文以第二种方案介绍，借助LogAnalyzer打造轻量级数据库审计日志平台。

环境概述

1）MySQL/MariaDB主库安装Audit Plugin插件

2）MySQL/MariaDB主库配置Rsyslog使用ommysql模块

3）准备一台专用存放syslog审计日志的MySQL数据库服务器

4）准备LAMP环境，运行web可视化日志分析软件LogAnalyzer，可与专用存放syslog审计日志的MySQL数据库服务器部署在一起。

数据库审计日志平台部署

1）要启用MySQL/MariaDB主库节点的审计，我们首先需要将 MariaDB审计插件server_audit.so文件复制到每个服务器的插件目录中，然后我们可以在所有节点上加载插件。

MySQL>  INSTALL PLUGIN server_audit SONAME 'server_audit.so';

2）配置审计插件

MariaDB审计插件还支持使用Rsyslog来记录事件。Rsyslog本身为我们提供了很多选项，其中之一是将日志条目转发到远程Rsysog进程。为了能够使用本地syslog，我们需要更改参数变量server_audit_output_type的值。

MySQL>  SET GLOBAL server_audit_output_type = syslog;

3）由于我们只想转发由MariaDB审计插件创建的syslog日志，我们将使用变量 server_audit_syslog_facility 来为syslog配置过滤器。

MySQL>  SET GLOBAL server_audit_syslog_facility = LOG_LOCAL6;

4）我们想追溯某时刻谁误删除误更改了数据这一需求，那么我们可以禁止记录select查询操作。我们需要更改参数变量server_audit_events的值。

MySQL>  SET GLOBAL server_audit_events = 'QUERY_DDL , QUERY_DML_NO_SELECT';

只会记录增删改、DDL操作。

5）开启审计日志的记录

MySQL>  SET GLOBAL server_audit_logging = 1;

6）安装Rsyslog连接至MySQL的驱动模块

现在为 MariaDB 审计插件已经配置完毕。我们现在可以启用审计，但它只会写入本地系统日志/var/log/messages文件里，无法推送远程专用存放syslog审计日志的MySQL数据库服务器里。

Shell>  yum install rsyslog-mysql -y

7) 在专用存放syslog审计日志的MySQL数据库准备syslog的用户账号

MySQL>  CREATE USER 'rsyslog'@'%' IDENTIFIED BY 'rsyslogpass'; MySQL>  GRANT ALL ON Syslog.* TO 'rsyslog'@'%';

8）生成存放syslog数据的库和表

Shell>  rpm -ql  rsyslog-mysql /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql Shell>  mysql  -h127.0.0.1  -ursyslog  -prsyslogpass   <  /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

9）配置Rsyslog使用ommysql模块，将所期望的日志信息记录于MySQL数据库中。

Shell>  vim /etc/rsyslog.conf #### MODULES #### ...... $ModLoad imudp           #加载udp的模块 $UDPServerRun 514         #允许接收udp 514的端口传来的日志 $ModLoad imtcp           #加载tcp的模块 $InputTCPServerRun 514        #允许接收tcp 514的端口传来的日志 $ModLoad ommysql          #加载mysql的模块

10）配置RULES，将所期望的日志信息记录于专用存放syslog审计日志的MySQL数据库服务器。

Shell>  vim /etc/rsyslog.conf #### RULES #### $ActionOmmysqlServerPort  3306 local6.*       :ommysql:192.168.198.239,Syslog,rsyslog,rsyslogpass

注：192.168.198.239这个IP，是syslog审计日志MySQL服务器地址

3306是MySQL端口号

ryslog是库名

ryslog是用户名

rsyslogpass是密码

11) 重启rsyslog服务

Shell>  systemctl restart rsyslog

至此rsyslog服务已经配置完毕。在MySQL/MariaDB主库上执行增删改、DDL操作，就会把审计日志推送至syslog审计日志MySQL服务器的Syslog库systemevents表里。

12）安装web可视化的日志分析软件loganalyzer

Shell>  yum -y install httpd php php-mysqlnd php-gd Shell>  systemctl start httpd.service Shell>  cd /var/www/html/ Shell>  wget ​​​https://download.adiscon.com/loganalyzer/loganalyzer-4.1.12.tar.gz​​​ Shell>  tar  zxvf  loganalyzer-4.1.12.tar.gz Shell>  mv  loganalyzer-4.1.12  loganalyzer Shell>  touch  loganalyzer-4.1.12/src/config.php Shell>  chmod  755  loganalyzer-4.1.12/src/config.php

打开浏览器，配置loganalyzer软件，输入网址

​​http://yourip/loganalyzer/src/install.php​​

source type：选MYSQL Native

select view：选Syslog Fields

Table type：选MonitorWare

database host：127.0.0.1

database name：Syslog

database tablename：SystemEvents

database user：syslog

database password：写上之前你设定的sysylog用户的数据库密码

最后点Next按钮，完成初始化loganalyer。

• 摘自《MySQL运维进阶指南》

演示地址  ​​https://www.douyin.com/video/7109397992427228452​​