设计 MySQL 审计表的核心目标是记录关键数据的变更历史,便于追踪操作行为、排查问题和满足合规要求。以下是实用的设计思路和结构建议。
1. 明确审计范围
不是所有表都需要审计,通常只对核心业务表(如用户信息、订单、权限配置)开启审计。你可以选择以下几种审计方式:
行级变更审计:记录某条记录被修改前后的值 操作行为审计:记录谁在什么时候执行了什么操作(如登录、删除) DDL 变更审计:记录表结构变更(可通过触发器或外部工具实现)2. 设计通用审计表结构
一个灵活的审计表应包含足够的上下文信息。以下是一个推荐的基础结构:
CREATE TABLE audit_log (
id BIGINT AUTO_INCREMENT PRIMARY KEY,
table_name VARCHAR(64) NOT NULL COMMENT '被审计的表名',
record_id BIGINT NOT NULL COMMENT '被修改记录的主键',
operation ENUM('INSERT', 'UPDATE', 'DELETE') NOT NULL,
old_values JSON DEFAULT NULL COMMENT '修改前的数据(JSON格式)',
new_values JSON DEFAULT NULL COMMENT '修改后的数据(JSON格式)',
changed_by VARCHAR(100) DEFAULT NULL COMMENT '操作者(如用户名或IP)',
changed_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
INDEX idx_table_record (table_name, record_id),
INDEX idx_changed_at (changed_at),
INDEX idx_changed_by (changed_by)
);
</font>
说明与建议:
使用 JSON 字段 存储新旧值,避免为每个被审计表单独建结构,提升灵活性 记录 操作类型 和时间,方便按动作类型过滤 添加索引提升查询效率,特别是按表名、记录ID、时间查询场景 changed_by 可通过应用层传入用户名,或用触发器调用 USER()/CURRENT_USER()3. 使用触发器自动记录变更
以 user 表为例,创建触发器将变更写入 audit_log:
DELIMITER ;;
CREATE TRIGGER user_audit_after_update
AFTER UPDATE ON user
FOR EACH ROW
BEGIN
INSERT INTO audit_log (table_name, record_id, operation, old_values, new_values, changed_by)
VALUES (
'user',
NEW.id,
'UPDATE',
JSON_OBJECT('name', OLD.name, 'email', OLD.email),
JSON_OBJECT('name', NEW.name, 'email', NEW.email),
CURRENT_USER()
);
END;;
CREATE TRIGGER user_audit_after_delete
AFTER DELETE ON user
FOR EACH ROW
BEGIN
INSERT INTO audit_log (table_name, record_id, operation, old_values, changed_by)
VALUES (
'user',
OLD.id,
'DELETE',
JSON_OBJECT('name', OLD.name, 'email', OLD.email),
CURRENT_USER()
);
END;;
DELIMITER ;
注意: INSERT 操作一般不记录 old_values,UPDATE 建议同时记录新旧值,DELETE 只有 old_values。
4. 配合应用层增强审计能力
数据库层触发器无法获取真实用户身份(如应用用户),建议在应用代码中补充:
在事务中手动插入 audit_log,把 session 用户 ID 或 token 主体写入 changed_by 对敏感操作(如删除账户)额外记录客户端 IP、User-Agent 使用 AOP 或中间件统一处理审计日志写入基本上就这些。关键是结构清晰、数据完整、性能可控。如果数据量大,考虑定期归档 audit_log 表,或使用分区表按月分区。不复杂但容易忽略细节。
