MySQL默认不记录权限变更操作,必须启用server_audit插件并配置QUERY_DDL事件才能可靠审计GRANT、REVOKE等语句;general_log和binlog均无法满足合规性要求。
MySQL 默认不记录 GRANT、REVOKE、CREATE USER 等权限变更操作,必须显式启用审计机制才能捕获——靠通用日志或二进制日志都不行,它们要么不记录权限语句(binlog 默认跳过),要么格式太粗(general_log 无结构、难过滤)。
用 server_audit 插件抓取权限变更事件
社区版 MySQL 最可靠的方式是加载 server_audit 插件,并明确开启 QUERY_DDL 和连接类事件。它能原生识别 GRANT、REVOKE、DROP USER 等语句,并打上 QUERY 或 CONNECT 类型标签。
- 插件需提前放入
plugin_dir(如/usr/lib/mysql/plugin/),再执行:INSTALL PLUGIN server_audit SONAME 'server_audit.so';
- 关键配置(写入
my.cnf并重启,或动态设置):SET GLOBAL server_audit_events = 'CONNECT,QUERY_DDL,QUERY_DML';
SET GLOBAL server_audit_logging = ON;
SET GLOBAL server_audit_file_path = '/var/log/mysql/audit.log'; -
QUERY_DDL是重点:它覆盖所有数据定义类操作,包括权限管理语句;而QUERY_DML只捕获增删改查,不包含权限变更 - 日志中每条权限操作会带
user、host、query字段,例如:"query":"GRANT SELECT ON mydb.* TO 'auditor'@'%'"
为什么不能依赖 general_log 或 binlog?
通用日志看似“啥都记”,但对权限审计实际无效:它记录的是客户端发来的原始字符串,不解析语义,GRANT 语句混在大量业务 SQL 中极难提取;而二进制日志默认不记录权限变更(除非显式开启 binlog_format=ROW 并配合 log_bin_trust_function_creators=ON,但仍不保证稳定捕获)。
-
general_log开启后日志体积爆炸,且无用户上下文分离(比如无法区分是 root 执行还是应用账号执行) -
binlog主要用于数据恢复和主从同步,GRANT类语句在 STATEMENT 模式下可能被跳过,在 ROW 模式下根本不会出现 - 两者均不提供结构化字段(如操作类型、目标对象、执行结果成功/失败),无法做合规性回溯
企业版 audit_log 插件的差异点
MySQL Enterprise Edition 的 audit_log 插件支持更细粒度策略,比如只审计特定用户或只记录失败的权限操作,但社区版做不到。如果你用的是企业版,配置更简洁:
[mysqld]
plugin-load = audit_log.so
audit_log_format = JSON
audit_log_policy = ALL
audit_log_file = /var/log/mysql/audit.log
-
audit_log_policy = ALL会记录所有连接和查询,包括权限语句;设为LOGINS则只记登录,QUERIES只记查询(不含 DDL) - JSON 格式天然支持解析,可直接用
jq提取权限操作:jq 'select(.query | contains("GRANT") or contains("REVOKE"))' /var/log/mysql/audit.log - 注意:企业版插件名是
audit_log.so,不是server_audit.so,加载失败通常因文件名或路径错误
触发器方案不适用于权限审计
有人想在 mysql.user 或 mysql.db 表上建触发器来监听权限变更,这在 MySQL 中不可行:系统表不允许创建用户触发器,执行会报错 ERROR 1356 (HY000): View 'mysql.user' references invalid table(s) or column(s)。
- 即使绕过限制(如用代理层拦截),也无法覆盖所有权限变更路径(例如通过
mysqldump --all-databases恢复时批量写入系统表) - 权限变更本质是元数据操作,不是业务表 DML,必须由服务端审计插件在 SQL 解析阶段捕获
- 真正需要审计权限变更的场景(如等保三级、GDPR),必须用插件+日志轮转+权限隔离三者结合,缺一不可
最容易被忽略的一点:插件日志文件本身必须严格控制权限,chown mysql:mysql /var/log/mysql/audit.log && chmod 600 /var/log/mysql/audit.log,否则审计日志可能被未授权用户篡改或删除——日志可信的前提,是日志自身不可抵赖。
