查看mysql访问记录
发布时间:2022-12-10 11:34:10 所属栏目:MySql教程 来源:
导读: 假设这么一个情况,你是某公司mysql-DBA,某日突然公司
数据库
中的所有被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
数据库
中的所有被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
|
假设这么一个情况,你是某公司mysql-DBA,某日突然公司 数据库 中的所有被人为删了。 尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。 但是拥有数据库操作权限的人很多MySQL 删除数据库,如何排查,证据又在哪? 是不是觉得无能为力? mysql 本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢? 本文就将讨论一种简单易行的,用于mysql访问审计的思路。 概述: 其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点 无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。 sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。 日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。 本文观点: 使用init-connect + binlog的方法进行mysql的操作审计。 由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。 因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。 在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。 正文: 1. 设置init-connect 1.1 创建用于存放连接日志的数据库和表 create database accesslog; CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30)) 1.2 创建用户权限 可用现成的root用户用于信息的读取 grant read on accesslog.* to root@localhost identified by ‘password’; 如果存在具有to *.* 权限的用户需要进行限制。 1.3 设置init-connect 在[mysqld]下添加以下设置: init-connect=’insert into accesslog.accesslog values(connection_id(),user(),current_user(),now());’ log-bin 1.4 重启数据库生效 shell> service mysqld restart 2. 记录追踪 2.1 thread_id确认 假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位 (编辑:开发网_运城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102330464号