MySQL数据库安全日志审计工具

2018-12-2600:05:01 发表评论

说明

由于MySQL社区版没有自带的审计功能或插件,对于等级保护当中对数据库管理的要求的就存在一定的不满足情况的,抛开条条框框不说数据库的日志是值得研究的,通过收集数据库的日志到企业SOC平台便于安全事件的溯源与故障分析,配合目前的UEBA技术能够轻松发现很多恶意事件。

部署插件

为了节省购买一些安全设备的费用,可是使用CE安全网推荐的一款日志审计插件,文章底部可进行下载。

首先确定当前mysql的版本再选择与之相对应的插件,解压插件后需要确认mysql插件的安装目录:

MySQL数据库安全日志审计工具

将解压出来的插件libaudit_plugin.so复制到插件的目录下:

MySQL数据库安全日志审计工具

使用mysql的函数install plugin导入此插件后通过show plugin确认是否导入成功。

命令如下:

  1. install plugin audit soname ‘libaudit_plugin.so’

安装完成之后并不会立马开始审计内容,需要定义一些参数。

Audit_json_file这个参数要整体控制是否开启审计功能使用命令:

  1. Set variables audit_json_file=on

MySQL数据库安全日志审计工具

审计后的记录名可以通过查询变量audit_json_log_file获取:

  1. Show variables like “audit_json_log_file”

同时插件支持一些自定义的参数与命令,包括白名单与黑名单的功能。

Audit_whitelist_users: 不审计user用户的所有命令

Aduit_record_cmds: 需要进行审计的命令种类

MySQL数据库安全日志审计工具

小结

通过插件的方式可以实现mysql日志的审计通过ELK的框架实现日志的保存与分析,再通过后期写一些脚本分析可以实现安全检测与业务分析等多个功能,关键是零成本特别适合那些”一个人的安全部”和一些个人站长使用。

根据一些测试数据表示,插件对性能的影响是比较大的约有20%左右的消耗需要结合具体的业务情况进行评估。

MySQL数据库安全审计插件下载

部分内容被隐藏
评论刷新后查看
CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!