MySQL审计日志有两种主流方式:一是轻量级general_log,开箱即用但影响性能;二是专业级server_audit插件,粒度细、适合合规场景。需配置参数、验证生效并注意日志安全与运维成本。
MySQL 开启审计日志,核心是记录谁、何时、执行了哪些 SQL 操作(如 SELECT、INSERT、UPDATE、DELETE、CONNECT 等)。根据实际需求和环境,有两种主流方式:轻量级的通用查询日志(general_log)和专业级的审计插件(如 server_audit 或企业版 audit_log)。前者开箱即用、无需安装插件;后者粒度细、权限控制强、适合合规场景。
用 general_log 快速开启操作记录(免插件)
这是最简单直接的方式,适合开发测试或临时排查,所有客户端执行的 SQL 语句(含连接/断开)都会被记录。
- 登录 MySQL 后执行:
SET GLOBAL general_log = ON;SET GLOBAL general_log_file = '/var/log/mysql/general.log';SET GLOBAL log_timestamps = SYSTEM; - 确保目标目录存在且 MySQL 进程有写权限(例如:
chown mysql:mysql /var/log/mysql) - 实时查看日志:
tail -f /var/log/mysql/general.log - ⚠️ 注意:该方式会显著影响性能,不建议在高并发生产库长期开启;重启后配置失效,需写入配置文件才永久生效
通过 server_audit 插件实现精细审计(推荐生产环境)
基于 MariaDB Audit Plugin(兼容 MySQL),支持按用户、事件类型过滤,输出到文件或 syslog,更符合安全审计要求。
- 确认插件路径:
SHOW VARIABLES LIKE 'plugin_dir';,将server_audit.so放入该目录 - 安装插件:
INSTALL PLUGIN server_audit SONAME 'server_audit.so'; - 配置关键参数(建议写入
/etc/my.cnf的[mysqld]段):server_audit_logging=ONserver_audit_events=connect,query,tableserver_audit_output_type=fileserver_audit_file_path=/var/log/mysql/audit.logserver_audit_file_rotate_size=104857600(100MB 自动轮转) - 重启 MySQL 生效,之后日志会自动写入指定路径,每条记录包含时间、用户、IP、SQL 语句等字段
检查与验证是否生效
无论用哪种方式,都应立即验证日志是否真实产生:
- 执行一条简单 SQL,例如:
SELECT NOW();或SHOW TABLES; - 查看对应日志文件是否有新增内容(注意文件权限和 SELinux/firewalld 干扰)
- 查询运行时变量确认状态:
SHOW GLOBAL VARIABLES LIKE '%audit%';SHOW GLOBAL VARIABLES LIKE 'general_log%';
注意事项与补充建议
审计日志涉及敏感信息,部署时需同步考虑安全与运维成本:
- 日志路径务必设在独立磁盘分区,避免占满系统盘导致 MySQL 崩溃
- 启用
log_rotation或配合logrotate定期归档压缩,保留周期按合规要求设定(如 90 天) - 若使用
general_log,建议仅开启必要时段,并关闭slow_query_log等其他冗余日志以减少 I/O 压力 - MySQL 企业版用户可直接启用
audit_log插件,支持 JSON 格式、策略分组、远程 syslog 输出等高级特性
