MySQL 审计级别配置实现步骤_Mysql

基于 145 环境 mysql-0d130fde 实例验证

实例信息：

集群：x.x.x.145
命名空间：qfusion-admin
插件：percona audit plugin (audit_log.so)
mysql 版本：8.0.35

一、当前环境审计配置

1.1 已安装的审计插件

audit_log    active    audit    audit_log.so    gpl

1.2 当前审计参数

参数	值	说明
audit_log_policy	all	当前审计级别（全量）
audit_log_format	json	日志格式
audit_log_file	/var/log/mysql/audit.log	日志文件路径
audit_log_rotate_on_size	536870912 (512mb)	日志轮转大小
audit_log_rotations	10	保留日志文件数量
audit_log_strategy	asynchronous	异步写入策略
audit_log_buffer_size	1048576 (1mb)	缓冲区大小
audit_log_max_sqltext	2048	sql最大记录长度
audit_log_exclude_accounts	root@%,root@localhost,repl@%,@	排除审计账户
audit_log_display_query_time	on	显示查询耗时

二、percona audit plugin 审计级别详解

percona audit plugin 支持 4 种审计策略（policy）：

policy 对照表

policy	等级	审计内容
none	level 0	关闭审计
logins	level 1	连接事件 + 默认查询记录
queries	level 2	所有 sql 查询（不含连接）
all	level 3	连接 + 查询（完整审计）

注意：percona 的 logins 级别仍会记录 query，这是与 mariadb audit plugin 的区别。

三、各级别详细说明

level 0: none（关闭审计）

设置方式

set global audit_log_policy=none;

特点

不记录任何审计信息
性能影响：0%
适用场景：压测、开发环境

验证结果

# 执行查询
select 1;

# 审计日志：无新增记录

level 1: logins（基础审计）

设置方式

set global audit_log_policy=logins;

记录内容

connect 事件（用户登录）
quit 事件（用户登出）
query 事件（percona 特性：logins 级别仍记录 sql）

适用场景

生产环境常态
等保合规（基础级）

审计日志示例

{"name":"connect","record":"464","timestamp":"2025-12-24t09:48:53z","user":"audit_test","host":"localhost"}
{"name":"query","record":"466","timestamp":"2025-12-24t09:48:53z","command_class":"select","sqltext":"select 1"}
{"name":"quit","record":"468","timestamp":"2025-12-24t09:48:53z","user":"audit_test"}

性能影响

很低（< 3%）

level 2: queries（增强审计）

设置方式

set global audit_log_policy=queries;

记录内容

所有 sql 查询（select / insert / update / delete / ddl）
不记录 connect/quit 事件

适用场景

核心业务库
需要 sql 级别追溯
金融/电力/政企系统

审计日志示例

{"name":"query","record":"471","timestamp":"2025-12-24t09:49:03z","command_class":"select","sqltext":"select 1"}
{"name":"query","record":"472","timestamp":"2025-12-24t09:49:03z","command_class":"delete","sqltext":"delete from test_audit.t where id=1"}

性能影响

中等（5% ~ 10%）
与 sql 频率正相关

level 3: all（全量审计）

设置方式

set global audit_log_policy=all;

记录内容

connect 事件
quit 事件
所有 sql 查询
完整上下文（用户、ip、时间、耗时）

适用场景

安全事件追溯
应急排查（短期开启）
高合规要求环境

审计日志示例

{"name":"connect","record":"474","timestamp":"2025-12-24t09:49:16z","user":"audit_test","host":"localhost"}
{"name":"query","record":"475","timestamp":"2025-12-24t09:49:16z","command_class":"select","sqltext":"select @@version_comment limit 1"}
{"name":"query","record":"476","timestamp":"2025-12-24t09:49:16z","command_class":"select","sqltext":"select * from test_audit.t"}
{"name":"quit","record":"477","timestamp":"2025-12-24t09:49:16z","user":"audit_test"}

性能影响

较高（10% ~ 20%+）
日志量快速增长
长期开启需谨慎

四、审计日志字段说明

json 格式字段

字段	说明
name	事件类型（connect/query/quit/table/audit）
timestamp	utc 时间戳
connection_id	连接 id
user	执行用户
host	连接来源主机
ip	客户端 ip
db	数据库名
command_class	sql 类型（select/insert/update/delete/drop等）
sqltext	完整 sql 文本
status	执行状态码（0=成功）
start_time	查询开始时间（微秒）
end_time	查询结束时间（微秒）

五、高级配置技巧

5.1 排除特定账户审计

当前环境已配置排除 root 用户：

-- 查看排除列表
show variables like 'audit_log_exclude_accounts';

-- 设置排除账户
set global audit_log_exclude_accounts='root@%,root@localhost,repl@%,@';

5.2 只审计特定数据库

-- 只审计特定库
set global audit_log_include_databases='business_db,core_db';

5.3 只审计特定 sql 类型

-- 只审计 dml
set global audit_log_include_commands='insert,update,delete';

5.4 日志轮转配置

-- 单文件最大 512mb
set global audit_log_rotate_on_size=536870912;

-- 保留 10 个历史文件
set global audit_log_rotations=10;

六、生产环境建议

6.1 通用生产库（99% 场景）

推荐配置：logins + 慢日志

set global audit_log_policy=logins;
set global long_query_time=1;

优势

审计连接 + ddl
性能稳定
易长期运行

6.2 核心业务 / 金融 / 电力

推荐配置：queries + 定期清理

set global audit_log_policy=queries;

配合措施

定期归档审计日志
集中化日志收集（elk）
设置日志轮转

6.3 不推荐配置

-- 长期开启 all，配合 audit_log_strategy=asynchronous
set global audit_log_policy=all;
set global audit_log_strategy=asynchronous;

风险

高并发下可能引发 i/o 抖动
日志文件占用大量磁盘
影响主备同步延迟

七、审计 vs 其他日志

日志类型	安全合规	数据恢复	性能分析	select记录
审计日志	✅	❌	❌	可选
binlog	❌	✅	❌	❌
慢日志	❌	❌	✅	仅慢sql

八、常见问题

q1: 为什么 logins 级别还记录 query？

a: percona audit plugin 的 logins 级别行为与 mariadb 不同，会同时记录连接和查询。如需只记录连接，需使用 audit_log_exclude_commands 过滤。

q2: 如何临时关闭审计？

set global audit_log_policy=none;

q3: 审计文件满了怎么办？

审计插件会自动轮转，但建议配置监控：

# 检查审计日志大小
ls -lh /var/log/mysql/audit.log*

# 设置定期清理任务
find /var/log/mysql/audit.log* -mtime +30 -delete

q4: 审计影响有多大？

实测数据（参考）：

none: 0% 影响
logins: ❤️% 影响
queries: 5-10% 影响
all: 10-20%+ 影响（与 qps 正相关）

九、配置模板

等保合规配置（my.cnf）

[mysqld]
# 加载审计插件（通常已预装）
plugin-load=audit_log.so

# 审计策略
audit_log_policy=logins
audit_log_format=json
audit_log_file=/var/log/mysql/audit.log

# 轮转配置
audit_log_rotate_on_size=536870912
audit_log_rotations=9

# 排除管理账户（避免日志膨胀）
audit_log_exclude_accounts=root@%,root@localhost,repl@%,@

# 性能优化
audit_log_strategy=asynchronous
audit_log_buffer_size=1048576

# sql 记录配置
audit_log_max_sqltext=2048
audit_log_display_query_time=on

到此这篇关于mysql 审计级别配置实现步骤的文章就介绍到这了,更多相关mysql 审计级别配置内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网！

MySQL 审计级别配置实现步骤

一、当前环境审计配置

1.1 已安装的审计插件

1.2 当前审计参数

二、percona audit plugin 审计级别详解

policy 对照表

三、各级别详细说明

level 0: none（关闭审计）

level 1: logins（基础审计）

level 2: queries（增强审计）

level 3: all（全量审计）

四、审计日志字段说明

json 格式字段

五、高级配置技巧

5.1 排除特定账户审计

5.2 只审计特定数据库

5.3 只审计特定 sql 类型

5.4 日志轮转配置

六、生产环境建议

6.1 通用生产库（99% 场景）

6.2 核心业务 / 金融 / 电力

6.3 不推荐配置

七、审计 vs 其他日志

八、常见问题

q1: 为什么 logins 级别还记录 query？

q2: 如何临时关闭审计？

q3: 审计文件满了怎么办？

q4: 审计影响有多大？

九、配置模板

等保合规配置（my.cnf）

推荐阅读

MySQL 查询优化器 (Query Optimizer) 的使用小结

MySQL 8.0 systemd 服务配置指南

深入理解MySQL默认事物隔离级别

Mysql大数据量分页优化过程

MySql报错:unblock with mysqladmin flush-hosts的解决方案

mysql 键长如何计算的方法实现

猜你喜欢

发表评论