MySQL审计需结合mysql.sys视图与权限控制:授予审计账号SELECT权限至performance_schema.和sys.,禁用ALL PRIVILEGES;依赖events_statements_history_long留存历史SQL(默认10000条、重启清空);避免滥用general_log,优先选用audit_log插件或触发器+日志表;GRANT须审慎使用WITH GRANT OPTION并外部记录授权链;日志轮转应通过logrotate配置权限分离,确保审计账号无FILE权限以防数据导出绕过。
如何用 mysql.sys 表配合权限控制实现基础审计
MySQL 自带的 sys 库(尤其是 mysql.sys 下的视图)不是独立服务,但能快速暴露用户行为痕迹,前提是对应账号有足够权限读取性能模式数据。默认普通用户看不到 performance_schema 里的表,更别说 sys 视图。
实操建议:
- 给审计账号授予
SELECT权限到performance_schema.*和sys.*,不要用ALL PRIVILEGES—— 这会绕过最小权限原则,也容易被误删配置 -
sys.session和sys.processlist可实时查当前连接与 SQL 摘要,但不记录历史;真要留痕得靠performance_schema.events_statements_history_long,它默认只存 10000 条,且重启清空 - 若发现
SELECT * FROM sys.session返回空,先检查是否启用了performance_schema(SHOW VARIABLES LIKE 'performance_schema'必须为ON)
开启 general_log 的真实代价与替代方案
很多人一上来就开 general_log = ON,以为这就是审计。结果不到半天磁盘爆满,或主库响应变慢——因为每条语句(包括心跳、健康检查)都会写入日志,IO 压力陡增。
实操建议:
- 仅在排查阶段临时启用:
SET GLOBAL general_log = ON,并指定文件路径(SET GLOBAL general_log_file = '/var/log/mysql/general.log'),用完立刻关 - 生产环境更推荐用
audit_log插件(MySQL Enterprise Edition)或 Percona Server 的audit_log(开源版),它们支持按用户、命令类型过滤,还能输出 JSON 格式便于接入 SIEM - 如果只能用社区版又必须留痕,可考虑触发器 + 日志表组合,但注意:DML 触发器无法捕获
DROP TABLE或GRANT等 DDL/DCL 操作
GRANT 时漏掉 WITH GRANT OPTION 导致审计链断裂
审计不是只看“谁执行了什么”,更要确认“谁授权了谁”。如果给中间管理账号(如 DBA 助理)授了 SELECT,却没加 WITH GRANT OPTION,那他后续再转授他人时会失败;但如果加了,又没人监控他转授了哪些权限,审计日志里就只剩结果,没有授权路径。
实操建议:
- 所有含
WITH GRANT OPTION的GRANT操作,必须同步记录到外部 CMDB 或审批系统,不能只依赖 MySQL 自身的information_schema.role_table_grants - 定期用
SELECT * FROM mysql.proxies_priv(需SELECT权限)核对代理权限扩散情况,这个表不会出现在SHOW GRANTS输出中,容易被忽略 - 避免使用
GRANT ALL ON *.*,哪怕只是临时测试——它隐式包含GRANT OPTION,且可能赋予FILE、SHUTDOWN等高危权限
日志轮转与权限分离的实际落地难点
审计日志要长期保存,就得轮转;但轮转脚本若用 root 运行,等于把日志访问权交给了运维账号;若用 mysql 用户运行,又可能因权限不足无法压缩或归档旧文件。
实操建议:
- 用
logrotate配合create 640 mysql mysql,确保新日志文件属主是mysql,但组可读(供审计账号通过组权限访问) - 审计账号不应有
FILE权限,否则可通过SELECT ... INTO OUTFILE绕过日志机制直接导出敏感数据 - 如果用
audit_log插件,注意其日志文件由 mysqld 进程自身写入,logrotate的copytruncate模式可能造成少量丢失,建议用prerotate调用FLUSH LOGS再轮转
真正难的不是配参数,而是让日志内容和权限边界对齐:一条 DROP DATABASE 记录背后,得能立刻定位到是谁授权了这个账号、该账号上次密码修改时间、是否开启了双因素认证——这些信息散落在不同系统里,MySQL 本身不负责串联。
