通过init-connect + binlog 实现MySQL审计功能

背景:

假设这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有被人为删了。

尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。

但是拥有数据库操作权限的人很多,如何排查,证据又在哪?

是不是觉得无能为力?

mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?

本文就将讨论一种简单易行的,用于mysql访问审计的思路。

 

关键字:init—connect,binlog,trigger

概述:

其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点

无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。

sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。

日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。

基本原理:

由于审计的关键在于DML语句,而所有的DML语句都可以通过binlog记录。

不过遗憾的是目前MySQL binlog 中只记录,产生这条记录的connection id(随连接数自增,循环使用),这对之后的反查没有任何帮助。

因此考虑通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。

在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论

 声明:

本文只是探讨思路的可行性,并没有经过严格的线上测试。请慎重使用在生产环境!

正文:

1. 设置init-connect

1.1创建用于存放连接信息的表

create database AuditDB default charset utf8;
use AuditDB;
create table accesslog (ID int primary key auto_increment,ConnectionID int, ConnUserName varchar(30), PrivMatchName varchar(30), LoginTIme timestamp);

 

1.2 保证所有的用户对此表有写权限

insert into db (Host,Db,User,Insert_priv) values ('%','AuditDB','','Y');
flush privileges;

 

1.3 设置init-connect

在my.cnf 中的 [mysqld] 的block 添加以下配置;

init-connect='insert into AuditDB.accesslog (ConnectionID,ConnUserName,PrivMatchName,LoginTime) values(connection_id(),user(),current_user(),now());'
log-bin

 

1.4 重启数据库生效

service mysqld restart

 

 

2. 记录追踪

2.1 thread_id确认

假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位

mysqlbinlog –start-datetime=’2009-11-25 09:00:00′ –stop-datetime=’2009-11-25 09:00:00′  binlog.xxxx | grep ‘dummy’ -B 5

会得到如下结果(可见thread_id为5):

 

    # at 300777#091124 16:54:00 server id 10  end_log_pos 301396       Query   thread_id=5     exec_time=0     error_code=0SET TIMESTAMP=1259052840;drop table test.dummy;

 
 

2.2 用户确认

thread_id 确认以后,找到元凶就只是一条sql语句的问题了。

select ID,LoginTime,PrivMatchName,ConnUserName fromAuditDB.accesslog where ConnectionID=5 ;

就能发现是testuser2@localhost干的了。

 

+——+——————————-+——————————-+—————————–+| ID   | LoginTime                        | PrivMatchName              | ConnUserName          |+——+——————————-+——————————-+—————————–+|   5  | 2009-11-25 10:57:39 | testuser2@localhost | testuser2@%        |+——+——————————-+——————————-+—————————–+

 

 

 

3. Q&A

Q:使用init-connect会影响服务器性能吗?

A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)

Q:access-log表如何维护?

A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。

Q:表有其他用途么?

A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。

Q:会有遗漏的记录吗?

A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。

 

 

 

 

 

转载于:https://www.cnblogs.com/cenalulu/archive/2012/05/09/2491736.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/361473.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AngularJS中ui-router全攻略

AngularJS中ui-router全攻略

首先是angular-ui-router的基本用法。■ 如何引用依赖angular-ui-router angular.module(app,["ui.router"]).config(function($stateProvider){$stateProvider.state(stateName, stateCofig);}) ■ $stateProvider.state(stateName, stateConfig)stateName是string类…
阅读更多...
如何为JBoss Developer Studio 8设置BPM和规则工具

如何为JBoss Developer Studio 8设置BPM和规则工具

最新的JBoss Developer Studio(JBDS)的发布带来了有关如何开始使用尚未安装的各种JBoss Integration和BPM产品工具集的问题。 在本系列文章中,我们将为您概述如何安装每套工具并说明它们支持哪些产品。 这将有助于您在着手进行下一个JBoss集…
阅读更多...
基于HTML5陀螺仪实现ofo首页眼睛移动效果

基于HTML5陀螺仪实现ofo首页眼睛移动效果

最近用ofo小黄车App的时候,发现以前下方扫一扫变成了一个眼睛动的小黄人,觉得蛮有意思的,这里用HTML5仿一下效果。 ofo眼睛效果 效果分析 从效果中不难看出,是使用陀螺仪事件实现的。 这里先来看一下HTML5中陀螺仪事件的一些概…
阅读更多...
定时开机 命令 自动开机

定时开机 命令 自动开机

自动开机: 首先开机后按住Delete键,就是平常常用的删除按键,然后就会进入到BIOS界面。虽然是一个满眼E文的蓝色世界,但不要害怕,没有问题的。 在BIOS设置主界面中选择“Power”选项,进入电源管理窗口。有些机器是在“P…
阅读更多...
多米诺骨牌 优化版

多米诺骨牌 优化版

算法&#xff1a; 在之前搜索出状态的基础上&#xff0c;再压缩一次状态。 View Code //by yefeng #include<iostream> using namespace std;typedef long long LL; const int mod 9937; int mask,idx, n , m;struct Matrix{int mat[257][257];void zero(){ memse…
阅读更多...
Apache Camel请向我解释这些端点选项的含义

Apache Camel请向我解释这些端点选项的含义

在即将发布的Apache Camel 2.15中&#xff0c;我们使Camel更智能。 现在&#xff0c;它可以充当老师&#xff0c;并向您说明其配置方式以及这些选项的含义。 Camel可以做的第一课是告诉您如何配置所有端点以及这些选项的含义。 接下来我们要学习的课程是让Camel解释EIP的选项…
阅读更多...
JS正则表达式的基础用法

JS正则表达式的基础用法

RegExp&#xff08;正则表达式&#xff09;对象 正则表达式是一个描述字符模式的对象&#xff0c;可以处理更复杂的字符串。进行匹配替换。 常用的修饰符&#xff1a; i/m/g 使用方法&#xff1a; 【声明方法一: new RegExp(value)】 var patt new RegExp(value)&#xff1b…
阅读更多...
JS获取屏幕浏览器网页高度和宽度属性

JS获取屏幕浏览器网页高度和宽度属性

1 网页可见区域宽&#xff1a;document.body.clientWidth 2 网页可见区域高&#xff1a;document.body.clientHeight 3 网页可见区域宽&#xff1a;document.body.offsetWidth (包括边线的宽) 4 网页可见区域高&#xff1a;document.body.offsetHeight (包括边线的宽) 5 网页正…
阅读更多...
微信扫码进入小程序

微信扫码进入小程序

这几天开发完小程序之后&#xff0c;需要实现微信扫码进入小程序&#xff0c;坎坎坷坷的过程终于实现了&#xff0c;现在做一总结&#xff1a; 1、配置二维码规则&#xff1a; 2、页面插入代码即可&#xff1a; onLoad: function(options) {console.log("index 生命周期 o…
阅读更多...
使用用户名/密码和Servlet安全性保护WebSockets

使用用户名/密码和Servlet安全性保护WebSockets

RFC 6455提供了WebSockets安全注意事项的完整列表。 其中一些是在协议本身中烘焙的&#xff0c;其他一些则需要更多有关如何在特定服务器上实现它们的解释。 让我们谈谈协议本身内置的一些安全性&#xff1a; HTTP请求中的Origin头仅包含标识发起该请求的主体&#xff08;网页…
阅读更多...
文件的读取

文件的读取

这几天在研究文件读取问题&#xff0c;写了个小demo&#xff0c;如下&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>Document</title> </head> <body><input type…
阅读更多...
关于stm32启动文件的选择

关于stm32启动文件的选择

关于stm32启动文件的选择 1推荐- startup_stm32f10x_ld_vl.s: for STM32 Low density Value line devices - startup_stm32f10x_ld.s: for STM32 Low density devices - startup_stm32f10x_md_vl.s: for STM32 Medium density Value line devices - startup_stm32f10x_md.s: fo…
阅读更多...
如何使用GZip和Jersey压缩Java REST API中的响应

如何使用GZip和Jersey压缩Java REST API中的响应

在某些情况下&#xff0c;您的REST api会提供非常长的响应&#xff0c;我们都知道移动设备/网络上的传输速度和带宽仍然非常重要。 我认为这是开发支持移动应用程序的REST api时需要解决的第一个性能优化点。 你猜怎么了&#xff1f; 因为响应是文本&#xff0c;所以我们可以压…
阅读更多...
C函数篇(recv函数)

C函数篇(recv函数)

简述 从一个套接口接收数据。表头文件&#xff1a;#include<sys/types.h>#include<sys/socket.h>int PASCAL FAR recv( SOCKET s, char FAR* buf, int len, int flags);s&#xff1a;一个标识已连接套接口的描述字。buf&#xff1a;用于接收数据的缓冲区。len&…
阅读更多...
js文字排序的方法

js文字排序的方法

拼音排序&#xff1a; var arr [{ a: 1, b: "我" }, { a: 1, b: "是" }, { a: 1, b: "帅" }, { a: 1, b: "哥" }, { a: 1, b: "你" }, { a: 1, b: "服" }, { a: 1, b: "不" }];arr.sort(function comp…
阅读更多...
线程池之外:Java并发并不像您想象的那么糟糕

线程池之外:Java并发并不像您想象的那么糟糕

Apache Hadoop&#xff0c;Apache Spark&#xff0c;Akka&#xff0c;Java 8流和Quasar&#xff1a; 针对Java开发人员的经典用例以及最新的并发方法 关于并发性更新概念的讨论很多&#xff0c;但是许多开发人员还没有机会将他们的想法缠住。 在本文中&#xff0c;我们将详细介…
阅读更多...
编写高质量的代码,改善c#程序的157个建议_之1~10

编写高质量的代码,改善c#程序的157个建议_之1~10

//编写高质量的代码&#xff0c;改善c#程序的157个建议# 1、正确操作字符串## 1* 确保尽量少的装箱* 避免分配额外的内存空间1. 会进行一次装箱C#string str1"str1"9;2. 没有装箱&#xff0c;调用的是整型的ToString方法C#string str2"str2"9.ToString();#…
阅读更多...
vue中使用Ueditor编辑器 -- 1

vue中使用Ueditor编辑器 -- 1

一、 下载包&#xff1a; 从Ueditor的官网下载1.4.3.3jsp版本的Ueditor编辑器&#xff0c;官网地址为&#xff1a;http://ueditor.baidu.com/website/download.html 下载解压后会得到如果下文件目录&#xff1a; 将上述Ueditor文件夹拷贝到vue项目的static文件夹中&#xff0…
阅读更多...
编译原理--递归下降分析实验C++

编译原理--递归下降分析实验C++

一、实验项目要求 1.实验目的 根据某一文法编制调试递归下降分析程序&#xff0c;以便对任意输入的符号串进行分析。本次实验的目的主要是加深对递归下降分析法的理解。 2.实验要求 对下列文法&#xff0c;用递归下降分析法对任意输入的符号串进行分析&#xff1a; &#…
阅读更多...
浅析路径遍历漏洞 文/饭

浅析路径遍历漏洞 文/饭

许多的Web应用程序一般会有对服务器的文件读取查看的功能&#xff0c;大多会用到提交的参数来指明文件名&#xff0c;形如&#xff1a;http://www.nuanyue.com/getfileimage.jgp 当服务器处理传送过来的image.jpg文件名后&#xff0c;Web应用程序即会自动添加完整路径&#xff…
阅读更多...
最新文章

Copyright @ 2022~2023