mysql权限变更如何记录_mysql日志审计方法

MySQL默认不记录GRANT/REVOKE操作，需启用server_audit插件并配置server_audit_events='CONNECT,QUERY_DDL'才能实现合规审计；general_log和binlog均无法满足结构化、可追溯、带身份与结果的审计要求。

MySQL 默认不记录 GRANT/REVOKE，靠 general_log 或 binlog 都不行

这是最常被误踩的坑：很多人以为开了 general_log 就能审计权限变更，或者指望 binlog 里翻出 GRANT 语句——但事实是：binlog 默认跳过权限语句（除非显式设置 binlog_format=ROW 且启用 log_bin_trust_function_creators，仍不保证记录），而 general_log 虽然会记下所有语句，却无结构、无操作类型标记、无法过滤“谁在什么时候执行了哪条权限语句”，日志体积爆炸且难回溯。

• GRANT SELECT ON mydb.* TO 'auditor'@'%' 这类语句，在 general_log 里只是一行纯文本，没有 user/host/query 字段分离，也没成功/失败状态
• binlog 主要服务数据恢复，不是审计工具；MySQL 社区版甚至默认不写 DDL 到 binlog（binlog_format=STATEMENT 下部分 DDL 不记）
• 合规审计（如等保2.0、金融行业要求）明确需要可追溯、带身份、带时间、带结果的操作事件流——这两者都不满足

社区版 MySQL 必须用 server_audit 插件，且必须开 QUERY_DDL

MySQL 社区版没内置审计模块，server_audit（来自 MariaDB，兼容主流 MySQL 5.7/8.0）是目前最轻量、最可靠的选择。它原生识别权限语句，并打上 QUERY 类型 + QUERY_DDL 子类标签，每条日志含 user、host、query、status（0=成功，非0=失败）等结构化字段。

• 安装命令：INSTALL PLUGIN server_audit SONAME 'server_audit.so';（插件路径用 SHOW VARIABLES LIKE 'plugin_dir'; 查）
• 关键配置必须包含：server_audit_events = 'CONNECT,QUERY_DDL' ——漏掉 QUERY_DDL 就等于没开权限审计
• 建议排除高危账号（如 root）避免日志刷屏：server_audit_excl_users = 'root'，但别 exclude 运维账号本身
• 日志路径设为独立目录并限制权限：server_audit_file_path = '/var/log/mysql/audit.log'，然后 chown mysql:mysql /var/log/mysql 防篡改

别混用 general_log，它和 server_audit 冲突且拖慢性能

很多运维图省事，一边开 server_audit，一边还留着 general_log = ON，结果发现查询变慢、磁盘 IO 暴涨、日志文件互相干扰。这不是叠加增强，而是冗余+冲突。

苏打办公

360旗下的办公工具导航，优质海量工具

下载

• general_log 是全量文本日志，每条连接、每条语句都写，无缓冲、无压缩、无轮转控制；server_audit 是事件驱动、二进制友好、支持轮转（server_audit_file_rotate_size）
• 两者同时开启时，server_audit 的 QUERY 事件可能重复记录 general_log 已写的语句，造成解析混乱
• 实操建议：确认 server_audit 正常工作后，立刻关掉 general_log：SET GLOBAL general_log = OFF;，并在 my.cnf 中注释掉相关配置

审计日志要能查、能防删、能归档，否则等于没记

日志写出来了，但如果没人看、被删了、或撑爆磁盘，就只是自我安慰。真正落地的审计必须考虑后续链路。

• 用 logrotate 做自动轮转（示例配置中指定 rotate 10 + size 1G），避免单文件过大导致 tail -f 卡死或 grep 超时
• 禁止日志目录对非 mysql 用户可写：chmod 750 /var/log/mysql，必要时用 chattr +a（仅追加）锁定主日志文件
• 定期用脚本提取关键事件，例如：grep '"event":"QUERY_DDL"' /var/log/mysql/audit.log | grep -E "(GRANT|REVOKE|CREATE USER)"
• 注意：server_audit 不记录语句执行结果是否生效（比如用户不存在时 REVOKE 失败），需结合 status 字段判断，失败值常见为 1044、1227 等错误码

真正卡住人的从来不是“怎么开日志”，而是“怎么确保它持续有效、不可绕过、可验证”。权限变更审计一旦松动，后面所有数据安全动作都会失焦——尤其是当 DBA 自己就是执行者时，日志的隔离性与抗抵赖设计，比功能开关本身更重要。