mariadb日志审计功能

1）登录数据库，执行如下命令，查看插件位置

  show variables like  ‘%plugin%‘ ; 

2）入到/usr/lib64/mysql/plugin/目录（该目录为步骤（1）的plugin_dir目录），查看是否有server_audit.so文件，如果没有的话，访问下载后传到/usr/lib64/mysql/plugin/目录。

3）安装插件，有两种方式：

  方式一：INSTALL PLUGIN server_audit SONAME ‘server_audit.so‘ ; 

 方式二：编辑/etc/my.cnf，添加如下内容

  [mysqld]

  plugin-load=server_audit=server_audit.so

 修改完后重启数据库

4）开启日志审计

 show variables like  ‘%audit%‘ ;

 set global server_audit_logging=on;

5）查看插件运行状态，命令如下：

 show global status like  ‘%audit%‘ ;

 server_audit_active :ON （表示server_audit插件在运行）；

 server_audit_current_log : server_audit.log（审计日志路径和日志名）；

 server_audit_last_error : 错误消息；

 server_audit_writes_failed : 因错误没有记录的日志条目数

6）修改审计参数

 set global server_audit_events=‘CONNECT,QUERY,TABLE,QUERY_DDL‘;

 set global server_audit_logging=on;

 set global server_audit_file_rotate_size=200000000;

 set global server_audit_file_rotations=200;

 set global server_audit_file_rotate_now=ON;

 show variables like ‘%audit%‘;

7）查看审计日志

 可以看到操作时间、主机、用户、地址、操作类型、操作内容

8）参数说明

  详细请参考：

  https://mariadb.com/kb/en/mariadb/server_audit-system-variables/

  server_audit_output_type：指定日志输出类型，可为SYSLOG或FILE

  server_audit_logging：启动或关闭审计

  server_audit_events：指定记录事件的类型，可以用逗号分隔的多个值(connect,query,table)，如果开启了查询缓存(query cache)，查询直接从查询缓存返回数据，将没有table记录

  server_audit_file_path：如server_audit_output_type为FILE，使用该变量设置存储日志的文件，可以指定目录，默认存放在数据目录的server_audit.log文件中

  server_audit_file_rotate_size：限制日志文件的大小

  server_audit_file_rotations：指定日志文件的数量，如果为0日志将从不轮转

  server_audit_file_rotate_now：强制日志文件轮转

  server_audit_incl_users：指定哪些用户的活动将记录，connect将不受此变量影响，该变量比server_audit_excl_users优先级高

  server_audit_syslog_facility：默认为LOG_USER，指定facility

  server_audit_syslog_ident：设置ident，作为每个syslog记录的一部分

  server_audit_syslog_info：指定的info字符串将添加到syslog记录

  server_audit_syslog_priority：定义记录日志的syslogd priority

  server_audit_excl_users：该列表的用户行为将不记录，connect将不受该设置影响

  server_audit_mode：标识版本，用于开发测试

原文：https://www.cnblogs.com/mliu/p/15156159.html