部署MySQLl审计插件

231weq

一、部署mcafee的mysql审计插件



1、下载插件https://bintray.com/mcafee/mysql-audit-plugin/release。

2、解压audit-plugin-mysql-5.5-1.0.5-479-linux-x86_64.zip压缩文件，复制lib目录下libaudit_plugin.so到/usr/local/mysql/lib/plugin。

3、登陆mysql 安装插件
   mysql>show plugins;
   mysql>INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so';
   mysql>show plugins;

mysql> set global audit_json_file = on;
mysql> set global  audit_record_cmds=
'insert,delete,update,create,drop,alter,grant';
   mysql> set global audit_record_objs =' DB1.*,DB2.*';

4、为了保证重启数据库，配置不丢失，修改my.cnf 配置文件，将下面的配置添加到[mysqld]中
   plugin-load=AUDIT=libaudit_plugin.so
   audit_json_file=ON
   audit_record_cmds='insert,delete,update,create,drop,alter,grant'
   audit_record_objs='DB1.*,DB2.*'


二、部署审计日志切割脚本和rsync脚本
1、用mysql用户解压audit_archive.zip  到/home/mysql/目录

$ unzip audit_archive.zip -d /home/mysql/
$ chmod u+x /home/mysql/audit_archive/bin/*
$ chmod 600 /home/mysql/audit_archive/config/rsyncd.pass



2、编写 /home/mysql/audit_archive/conf/mysql.cfg配置文件，根据mysql实例个数依次配置每个选项的值，每个选项都必须配置一个确定的值，user的值必须配置为root，且保证所配置的值是正确的，例如：
[3306]
ip=172.xx.xx.xx
user=root           
pass=xxxx   
port=3306
auditlog=/home/mysql/data3306/mysql-audit.json
socket=/tmp/mysql3306.sock

[3309]
ip=172.xx.xx.xx
user=root   
pass=xxxxx        
port=3309        
auditlog=/home/mysql/data3309/mysql-audit.json
socket=/tmp/mysql3309.sock

2、用mysql用户制定计划任务，配置切换mysql审计日志的时间间隔，可根据mysql审计日志的记录的繁忙程度，配置crontab执行的时间间隔，例如：

a）每30分钟切换mysql审计日志，按30分钟切换
0,30 * * * * bash /home/mysql/audit_archive/bin/service.sh

b)每一小时切换mysql审计日志，按小时切换
0 * * * * bash /home/mysql/audit_archive/bin/service.sh

c)每12个小时切换mysql审计日志，按半天切换
0 12,0 * * * bash /home/mysql/audit_archive/bin/service.sh

d)每天的0点0分切换日志，按天切换
0 0 * *　*  bash /home/mysql/audit_archive/bin/service.sh