MySQL权限变更监控可通过通用查询日志、企业版审计插件、binlog监控或外部脚本实现;2. 推荐使用ROW模式的binlog结合mysqlbinlog工具或解析工具实时监控mysql系统库变更,辅以定期巡检脚本比对权限快照,实现高效低耗的生产环境防护。
MySQL权限变更监控是数据库安全管理的重要环节。直接追踪谁在何时修改了用户权限,有助于及时发现潜在风险,防止未授权操作。虽然MySQL本身不提供完整的审计功能(社区版),但可以通过以下几种方法实现权限变更的监控。
启用通用查询日志(General Query Log)
通用查询日志会记录所有发送到MySQL服务器的SQL语句,包括GRANT、REVOKE、CREATE USER、DROP USER等权限相关操作。
操作方法:
- 在配置文件my.cnf或my.ini中添加:
log_output = FILE
general_log = ON
general_log_file = /var/log/mysql/general.log
- 重启MySQL服务或动态启用:
SET GLOBAL general_log = 'ON';
之后查看日志文件即可发现权限变更语句。缺点是日志量大,影响性能,适合临时排查。
使用MySQL企业版审计插件(Enterprise Audit Plugin)
MySQL企业版提供Audit Log Plugin,可精细记录登录、权限变更、DDL操作等事件。
启用方式:
- 安装插件:INSTALL PLUGIN audit_log SONAME 'libaudit_plugin.so';
- 配置my.cnf中添加过滤规则,例如只记录权限操作:
[mysqld]
plugin-load=audit_log.so
audit-log-format=JSON
audit-log-strategy=SYNCHRONOUS
该插件能输出结构化日志,便于分析和告警,但仅限企业版用户使用。
监控mysql系统库的binlog(推荐方案)
权限信息存储在mysql数据库中(如user、db、tables_priv等表),这些表的变更会被记录到binlog中(如果启用了binlog)。
操作步骤:
- 确保开启binlog:
log-bin = /var/log/mysql/binlog
binlog_format = ROW(推荐ROW模式以便捕获具体变更)
- 使用mysqlbinlog工具分析日志:
mysqlbinlog --database=mysql /var/log/mysql/binlog.000001 | grep -i 'grant\|revoke\|create user'
- 也可通过解析工具(如MaxScale、Canal)实时监听mysql库的变更,触发告警。
此方法对性能影响小,适用于生产环境长期监控。
建立触发器或使用外部监控脚本
由于无法在系统表上创建触发器,可通过定期巡检的方式对比权限快照。
建议做法:
- 编写脚本定期导出关键权限视图,例如:
SELECT User, Host, Select_priv, Grant_priv FROM mysql.user;
- 将结果存入外部数据库,并与上次结果比对。
- 发现差异时发送邮件或短信告警。
- 结合cron定时执行,如每小时一次。
这种方式简单可控,适合没有企业版审计功能的场景。
基本上就这些。选择哪种方法取决于你的MySQL版本、性能要求和安全级别。对于关键系统,建议结合binlog监控与定期巡检,实现全面防护。
