需求:客户要求mysql数据库需要记录数据库‘增删改’操作日志,作为数据库审计使用。
方案:使用MariaDB的server_audit插件来实审计功能。预估日志每日量大概在200M左右,每日切割日志,上传至OBS。
环境:1、MariaDB,版本:10.3.32,主要是用来获取server_audit.so插件。
2、MySQL,版本:5.7.19,使用pxc搭建在k8s集群中。
实现过程:
1、安装MariaDB。
yum install MariaDB-server
2、查找插件
find / -name server_audit.so
3、复制插件到k8s集群服务器中,并复制到pxc的主节点pod中(传统部署的mysql跳过这一步)。
kubectl cp server_audit.so pxc-cluster-0:/
4、进入pod,将server_audit.so插件移动至mysql的plugin目录中并添加权限。
4.1、进入pxc-cluster-0的pod中(传统部署mysql跳过这一步)。
kubectl exec -it pxc-cluster-0 bash
4.2、登录mysql,查询plugin目录地址。
mysql -uroot -p****** mysql> show global variables like 'plugin_dir';
4.3、在pod中,将server_audit.so移动到plugin目录下并修改权限
mv server_audit.so /usr/lib/mysql/plugin/
chmod 777 /usr/lib/mysql/plugin/server_audit.so
5、在数据库中执行命令安装插件。
mysql> install plugin server_audit soname 'server_audit.so';
6、查看插件当前信息
mysql> show variables like "server_audit%";
部分配置参数说明:
server_audit_events :设置定记录事件的类型,可以用逗号分隔的多个值如: set global server_audit_events='CONNCET,QUERY'; 更多参数值见管网。 server_audit_excl_users :设置不记录用户,但connect信息不受该配置影响。 server_audit_file_path : 记录日志文件名称,可以指定目录,默认存储在数据目录中。 server_audit_file_rotate_now OFF : 手动切割日志,将该值设置为"on"时,日志将被切割,切割完成后,该值自动设置回"OFF"。 server_audit_file_rotate_size : 设置日志文件大小,单位为B,1073741824为1G。 server_audit_file_rotations : 设置日志文件数量,如果为0,将不会切割文件。 server_audit_incl_users : 设置记录用户,但connect信息不受该配置影响,优先级高于server_audit_excl_users。 server_audit_logging : 插件开关。
参数详细信息见管网:https://mariadb.com/kb/en/mariadb-audit-plugin-options-and-system-variables/
7、命令开启日志记录(重启失效)。
mysql> set global server_audit_logging=on;
8、添加配置文件配置(永久生效,根据个人需求进行配置)。
server_audit_logging = ON #启动开启日志记录 server_audit = FORCE_PLUS_PERMANENT #防止插件被卸载 server_audit_file_path = server_audit.log #设置记录日志文件名称为server_audit.log server_audit_file_rotate_size = 1073741824 #设置单个日志文件大小最大为1G server_audit_file_rotations = 15 #设置日志文件保留个数最多为15个 server_audit_events = 'QUERY_DML_NO_SELECT' #设置记录时间为QUERY_DML_NO_SELECT
9、日志记录部署完成
传统部署的mysql的日志审计,将其他2个节点数据库从4-8步骤全部配置好,有日志记录后就完成了。
k8s部署的集群则在配置完成一个pod后,找到该pod的容器,将容器commit为新的镜像,最后更换k8s集群中mysql使用的镜像,重启即可。
10、编写日志切割和上传obs脚本,这里是针对k8s集群编写的脚本,每个节点都需要配置,不同节点需要进行相应修改。
vim /opt/obsutil/server_audit.sh #!/bin/bash addr="/var/lib/mysql/" shijian=`date '+%Y%m%d'` #如果日志文件为空,则不进行切割和上传 filesize=`cd ${addr}; ls -l | grep server_audit.log | awk -F ' ' '{print$5}'` if [[ "$filesize" == "0" ]]; then exit fi kubectl -nyg-cmp exec -it pxc-cluster-0 -- mysql -e 'set global server_audit_file_rotate_now=on;' > /dev/null 2>&1 files=`ls $addr | grep 'server_audit.log.'` for f in $files do /opt/obsutil/obsutil cp ${addr}/$f obs://uat-obs/${shijian}/${f}_1 > /dev/null 2>&1 done #上传完后,删除所有切割的文件,保证每天上传的日志是不重复的
if [[ "$?" == "0" ]]; then
rm -rf ${addr}/server_audit.log.*
fi
11、 设置定时任务,每天晚上11点59分切割日志并上传
crontab -e
59 23 * * * /bin/sh /opt/obsutil/server_audit.sh
12、卸载server_audit(如果设置了防卸载,需要先去掉该配置).
mysql> UNINSTALL PLUGIN server_audit;