Spec-Zone .ru
спецификации, руководства, описания, API

6.3.11. Плагин Журнала Аудита MySQL Enterprise

6.3.11.1. Установка Контрольного Плагина Журнала
6.3.11.2. Контрольные Соображения Безопасности Плагина Журнала
6.3.11.3. Контрольный Файл журнала
6.3.11.4. Контрольный Плагин Журнала, Регистрирующий Управление
6.3.11.5. Контрольные Опции Плагина Журнала и Переменные
6.3.11.6. Контрольные Ограничения Плагина Журнала
Отметить

Аудит MySQL Enterprise является коммерческим расширением. Чтобы узнать больше о коммерческих продуктах (MySQL Enterprise Edition), см. http://www.mysql.com/products/.

В MySQL 5.7 MySQL Enterprise Edition включает Аудит MySQL Enterprise, реализованное использование названного плагина сервера audit_log. Аудит MySQL Enterprise использует открытый API MySQL Audit, чтобы включить стандартному, основанному на политике контролю и журналированию соединения и действию запроса, выполняемому на определенных серверах MySQL. Разработанный, чтобы встретить спецификацию аудита Oracle, Аудит MySQL Enterprise обеспечивает из поля, удобного контроля и решения по обеспечению соответствия для приложений, которыми управляют и внутренними и внешними регулирующими направляющими линиями.

Когда установлено, контрольный плагин позволяет MySQL Server произвести файл журнала, содержащий контрольную запись действия сервера. Содержание журнала включает, когда клиенты соединяются и разъединяются, и какие действия они выполняют в то время как соединено, такой как, к каким базам данных и таблицам они получают доступ.

После того, как Вы устанавливаете плагин (см. Раздел 6.3.11.1, "Устанавливая Контрольный Плагин Журнала"), это пишет контрольный файл журнала. По умолчанию файл называют audit.log в каталоге серверных данных. Чтобы изменить название файла, установите audit_log_file системная переменная при запуске сервера.

Контрольное содержание файла журнала не шифруется. См. Раздел 6.3.11.2, "Контрольные Соображения Безопасности Плагина Журнала".

Контрольный файл журнала пишется в формате XML с auditable событиями, закодированными как <AUDIT_RECORD> элементы. Для получения дополнительной информации на формате файла и содержании, см. Раздел 6.3.11.3, "Контрольный Файл журнала".

Управлять что информация audit_log записи к его файлу журнала, набор audit_log_policy системная переменная. По умолчанию эта переменная устанавливается в ALL (запишите все auditable события), но также и разрешает значения LOGINS или QUERIES зарегистрировать только вход в систему или события запроса, или NONE отключить журналирование.

Для получения дополнительной информации об управлении, как журналирование происходит, см. Раздел 6.3.11.4, "Контрольный Плагин Журнала, Регистрирующий Управление". Для описаний параметров, используемых, чтобы сконфигурировать контрольный плагин журнала, см. Раздел 6.3.11.5, "Контрольные Опции Плагина Журнала и Переменные".

У Схемы Производительности (см. Главу 20, MySQL Performance Schema) есть инструментарий для контрольного плагина журнала. Чтобы идентифицировать соответствующие инструменты, используйте этот запрос:

SELECT NAME FROM performance_schema.setup_instrumentsWHERE NAME LIKE '%/alog/%';

Изменения от Более старых Контрольных Версий Плагина Журнала

Несколько изменений были произведены в контрольном плагине журнала в MySQL 5.7 для лучшей совместимости с Хранилищем Аудита Oracle.

Формат контрольного файла журнала изменился:

Пример старых <AUDIT_RECORD> формат:

<AUDIT_RECORD TIMESTAMP="2013-04-15T15:27:27" NAME="Query" CONNECTION_ID="3" STATUS="0" SQLTEXT="SELECT 1"/>

Пример нового формата:

<AUDIT_RECORD> <TIMESTAMP>2013-04-15T15:27:27 UTC</TIMESTAMP> <RECORD_ID>3998_2013-04-15T15:27:27</RECORD_ID> <NAME>Query</NAME> <CONNECTION_ID>3</CONNECTION_ID> <STATUS>0</STATUS> <STATUS_CODE>0</STATUS_CODE> <USER>root[root] @ localhost [127.0.0.1]</USER> <OS_LOGIN></OS_LOGIN> <HOST>localhost</HOST> <IP>127.0.0.1</IP> <COMMAND_CLASS>select</COMMAND_CLASS> <SQLTEXT>SELECT 1</SQLTEXT></AUDIT_RECORD>

Когда контрольный плагин журнала поворачивает контрольный файл журнала, он использует различный формат имени файла. Для названного файла журнала audit.log, плагин, ранее переименованный в файл к audit.log.TIMESTAMP. Плагин теперь переименовывает файл к audit.log.TIMESTAMP.xml указать, что это - XML-файл.

Если Вы ранее использовали более старую версию контрольного плагина журнала, используйте эту процедуру, чтобы избежать писать записи журнала нового формата в существующий файл журнала, который содержит записи старого формата:

  1. Остановите сервер.

  2. Переименуйте текущий контрольный файл журнала вручную. Этот файл будет содержать только записи журнала старого формата.

  3. Обновите сервер и перезапустите его. Контрольный плагин журнала создаст новый файл журнала, который будет содержать только записи журнала нового формата.

API для того, чтобы записать контрольные плагины также изменился. mysql_event_general у структуры есть новые элементы, чтобы представить имя хоста клиента и IP-адрес, команду class, и внешнего пользователя. Для получения дополнительной информации см. Раздел 22.2.4.8, "Пишущий Контрольные Плагины".