MySQL权限变更监控是数据库安全管理的重要环节。直接追踪谁在何时修改了用户权限,有助于及时发现潜在风险,防止未授权操作。虽然MySQL本身不提供完整的审计功能(社区版),但可以通过以下几种方法实现权限变更的监控。
启用通用查询日志(General Query Log)
通用查询日志会记录所有发送到MySQL服务器的SQL语句,包括GRANT、REVOKE、CREATE USER、DROP USER等权限相关操作。
操作方法:
在配置文件my.cnf或my.ini中添加:log_output = FILE
general_log = ON
general_log_file = /var/log/mysql/general.log
SET GLOBAL general_log = 'ON';
之后查看日志文件即可发现权限变更语句。缺点是日志量大,影响性能,适合临时排查。
使用MySQL企业版审计插件(Enterprise Audit Plugin)
MySQL企业版提供Audit Log Plugin,可精细记录登录、权限变更、DDL操作等事件。
启用方式:
安装插件:INSTALL PLUGIN audit_log SONAME 'libaudit_plugin.so'; 配置my.cnf中添加过滤规则,例如只记录权限操作:[mysqld]
plugin-load=audit_log.so
audit-log-format=JSON
audit-log-strategy=SYNCHRONOUS
该插件能输出结构化日志,便于分析和告警,但仅限企业版用户使用。
监控mysql系统库的binlog(推荐方案)
权限信息存储在mysql数据库中(如user、db、tables_priv等表),这些表的变更会被记录到binlog中(如果启用了binlog)。
操作步骤:
确保开启binlog:log-bin = /var/log/mysql/binlog
binlog_format = ROW(推荐ROW模式以便捕获具体变更)
mysqlbinlog --database=mysql /var/log/mysql/binlog.000001 | grep -i 'grant\|revoke\|create user'
也可通过解析工具(如MaxScale、Canal)实时监听mysql库的变更,触发告警。此方法对性能影响小,适用于生产环境长期监控。
建立触发器或使用外部监控脚本
由于无法在系统表上创建触发器,可通过定期巡检的方式对比权限快照。
建议做法:
编写脚本定期导出关键权限视图,例如:SELECT User, Host, Select_priv, Grant_priv FROM mysql.user;
将结果存入外部数据库,并与上次结果比对。 发现差异时发送邮件或短信告警。 结合cron定时执行,如每小时一次。这种方式简单可控,适合没有企业版审计功能的场景。
基本上就这些。选择哪种方法取决于你的MySQL版本、性能要求和安全级别。对于关键系统,建议结合binlog监控与定期巡检,实现全面防护。
