【环境介绍】

系统环境:Linux + mysql 5.7.18 + 主从复制架构

【背景描述】

需求:MySQL数据库都有每年的集团安全整改,常常要求弱口令扫描,基线扫描,漏洞扫描等等。对于MySQL的基线配置检查中的日志方面也是有好几个要求,建议开启MySQL的各种日志配置,记录数据库的各种类型活动,便于处理数据库故障和性能优化都有很大的帮助。开启这配置提供了帮助的同时也同时产生一定的性能消耗和存储方面的消耗。

【MySQL日志配置大致介绍】

类型

介绍

作用

参数

错误日志

记录对数据库的启动、运行、关闭过程进行记录信息

记录告警或正确信息

log_error

二进制日志

记录对数据库执行更改的所有操作,不包含select和show类型操作信息

用于恢复,复制,审计

log_bin

慢查询日志

记录对数据库执行长的SQL操作信息

定位存在问题的SQL,从SQL语句层面上进行优化

slow_query_log

通用查询日志

记录对数据库请求的所有操作信息

用于恢复,审计

general_log

更新日志

记录从主服务器接收的从服务器的更新是否应该记录到从设备自己的二进制日志

用于复制

log_slave_updates

【MySQL日志配置配置】

错误日志:默认开启,初始化时指定错误日志路径。/etc/my.cnf 参数文件设置:log_error = /home/mysql/logs/mysql.err
二进制日志:可关闭,可开启,全局静态参数。log_bin = /home/mysql/logs/binlog
慢查询日志:可开启可关闭,全局动态参数。
set GLOBAL slow_query_log_file = '/home/mysql/logs/slow.log'; set GLOBAL slow_query_log = ON;
通用查询日志:可开启可关闭,全局动态参数。
set GLOBAL general_log_file = '/home/mysql/data/oracle.log'; set GLOBAL general_log =ON;

更新日志:可关闭,可开启,全局静态参数。/etc/my.cnf 参数文件设置:log_slave_updates = ON

安全检查建议开启全部的日志配置。在整改的过程中,开启这些日志消耗性能是一定的,其中,通用查询日志的消耗最明显,产生的日志量的问题也是很常见。咨询业务侧,该数据库的业务比较繁忙,那么通用查询日志的问题就比较显著,进行对通用日志处理。

【通用日志处理】

于是对通用日志产生的日志量的问题进行处理。

需求:开启通用日志,每周日定时清理日志,保存3份有效日志记录备份,记录清理日志。

测试最终效果如下:

centos mysql 错误日志在哪里 mysql错误日志配置_数据库

主要实现功能的脚本如下:

cat > mysql_generlog_clean.sh
######################################################################
# mysql_generlog_clean.sh
# This script is clean mysql generlog
# Author CZT
######################################################################
#!/bin/sh
mysqladmin=`which mysqladmin`           ---定义mysql命令环境变量
mysql=`which mysql`
user="root"                                             ---注意进行操作的用户权限
passwd="xxx"
time=`date +%Y%m%d%H%M`
general_log=`mysql -u${user} -p${passwd} -Ne "show variables like 'general_log_file';" 2>/dev/null |grep general_log_file|awk '{print $2}'`           ---取当前设置通用日志的日志路径
mv ${general_log} ${general_log}_bak.${time}
mysqladmin -u$user -p$passwd flush-logs general 2>/dev/null
gzip ${general_log}_bak.${time}              ---对历史通用日志进行压缩
var_count=`ls -lrt ${general_log}_bak*|wc -l`
if [ $var_count -gt 3 ]
then
echo "gt 3"
var_del_count=`expr $var_count - 3`        ---判断保留3份历史日志
ls -lrt ${general_log}_bak* |awk '{print $9}'|head -$var_del_count> del_bakfile_list.txt
while read LINE
do
echo $LINE
rm -f $LINE                                            ---删除旧日志备份文件
done
else
echo "lt 3"
fi

【问题思考】

1,  对于产生的空间大小一定要经过测试,不同的业务产生的影响也有所不同,系统空间问题由于权限限制,不能限制空间,只能手动制定策略;

2, 因为备份中有切换日志操作,对日志备份清理的时间点避免业务高峰期间,防止期间造成告警报错,时间点的选择也是非常重要的环节;

3, 对于参数调整,必须了解该参数属性,是否可以实时开启关闭,对应急处理有非常大的帮助。

【总结】:

1,  对于安全整改配置时,一定要评估好风险,防止产生问题;

2,  对于日志量的问题,脚本可以举一反三处理;

3,  对于安全整改配置时,必须全面了解参数属性,便于应急的处理。