MySQL等保三调整-篇三.docx
50墨值下载
MySQL 等保三调整
在日常数据库运维工作中,为了满足等保三要求,需要完成数据库层面的调整。本篇为
MySQL5.7.41 和 MySQL8.0.31 版本等保三调整第三篇,主要涉及以下方面:数据库
审计。
一、数据库审计
要求:
审计数据库用户的操作。
实施步骤:
配置数据库用户审计策略,完成对数据库用户的操作进行审计。
可以从以下四个方面配置审计,开启审计会对数据库性能产生 10%-15%影响
general_log:数据库自带,记录详细的 执行记录
init_connect+binlog:对性能影响最小
McAfee 审计插件: 是 的一款 插件,为
提供审计功能,其设计重点在于安全和审计要求
MySQL 企业版审计插件:需要购买企业版
建议使用 审计插件和 ,其他方式兼容性不能保证。
1、开启 general_log 完成审计
本身提供详细的 执行记录 ,开启 ,无论执行的
是否有错误都会被记录,会导致记录大量的无用信息, 并发量很大时, 的记录会对
造成一定的影响,降低数据库效率。开启该参数会降低 的数据库性能,因为增长速
度太快,导致占用很大空间,建议只有在排查问题时临时开启关闭。
1.1、配置 general_log
可以动态开启或关闭 ,配置至 !" 为了避免数据库重启导致失效。
#、查看 相关参数
$%!&%%!'!(!"%
)(%!*++&+,+&+'+-.
/////////////////////////////////////////////////
0%!0%%0
/////////////////////////////////////////////////
001220
0,0343!343(!"0
0'0250
/////////////////////////////////////////////////
6)*7"77-
#8、设置 相关参数
$9.'9+25&:5+.
1;&7)<4*7"77-
1;&7)<4*7"77-
#6、查看更新后的 相关参数
$%!&%%!'!(!"%
)(%!*++&+,+&+'+-.
/////////////////////////////////////////////////
0%!0%%0
/////////////////////////////////////////////////
001=0
0,0343!343(!"0
0'025&:50
/////////////////////////////////////////////////
6)*7"77-
#>、配置 和 ' 参数至 !"
为了保证重启数据库,配置不丢失,修改 !"配置文件,将下面的配置添加到?!4@中
#保证 ! 重启后自动开启
9
#记录审计信息至文件或者表
'925&:5
1.2、查看审计记录
'925 会把审计日志记录在 的 44 目录下的 (!" 文件
中 ,为了便于分 析设 置 了 '9+25&:5+ , 会 把 审 计 日志 记 录 同 时 存在
!" 表中,按需求选择审计日志记录到文件或者表中。
#、25 可以看到 !,4,A!!4,!,可以看到在哪个时间点通过哪个用户在哪个
主机哪种方式连接到数据库执行哪些命令
4"
!4&BC"D">/*A!!%*E--"4)(C
''C667FGHC3!'3!"H
!4A!!4!
8786/7F/7IC67C>"88FFI7IC77>J9
8786/7F/7IC67C>"88F67J7IC77>J'9+25&:5+
8786/7F/7IC67C6I">7767IC77>J
%!&(&(44&%4&!!4'&%*!I!>-
G!!"
8786/7F/7IC6C6F"FD77D7IC77>J%!&%%
!'!(!"%)(%!
*++&+,+&+'+-
8786/7F/7IC6CJ"78D7IC77>J
8786/7F/7IC66C7I"6F8F>D7IC777A4!K(
H
8786/7F/7IC66C7I"6F8IIJ7IC777KK%!!!
8786/7F/7IC66C7I"6F6DJ7IC7775L*-
#8、查看 !" 表,可以看到在哪个时间点通过哪个用户在哪个主机哪种方式连接到数
据库执行哪些命令
$%!&(&(44&%4&!!4'&%*!
I!>-G!!".
///////////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////
0%!0(0(440%40!!4'0
G
0
///////////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////
08786/7F/7IC67C6I">77604!?4!@K(?@0>J0667F0
0
%!&(&(44&%4&!!4'&%*!I!>-
G!!"0
08786/7F/7IC6C6F"FD77D04!?4!@K(?@0>J0667F0
0%!&%%!
'!(!"%)(%!
*++&+,+&+'+-0
08786/7F/7IC6CJ"78D04!?4!@K(?@0>J0667F0
0
0
08786/7F/7IC66C7I"6F8F>D0?4!@K(?@070667F0
A04!K(H
0
08786/7F/7IC66C7I"6F8IIJ04!?4!@K(?@070667F0
0KK%!!!
0
08786/7F/7IC66C7I"6F6DJ04!?4!@K(?@070667F0
05L*-
0
08786/7F/7IC66C7I"DDD7>704!?4!@K(?@070667F0
0
%!&(&(44&%4&!!4'&%*!I!>-
G!!"0
///////////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////
1.3、清理及关闭 general_log
开启 之后,日志文件会增长得很快,需要清理历史的 文件或者
表。
#、 记录在文件中
使用 ' 命令,把 日志文件备份一下*如果确定这些历史的 不在需要,那么可
以不执行备份的这一步操作-,然后使用管道命令把文件内容清空。
'!"!""H
(MM$!"
注意:切记不要直接删除这个日志文件,否则这个文件不会自动生成,除非重启 数据实例。如果
删除后,即便手动创建一个一样名称的日志文件, 也不会把 日志记录进去。所以,只能
在 自己生成的文件中进行编辑,删除里面的内容。对于备份生产的文件
!""H,如果有必要留存,就拷贝到其他服务器或者其他归档存储中。如果没有
必要留存,那么直接 ! 删除这个 H 的 文件就可以了。
#8、 记录在表中
先使用 GG 命令备份个表*如果确认不需要历史的 ,那么可以不执行
备份操作-。然后,执行 命令删除表中数据。
$!"HN!!".
$!".
注意:这个表只能执行 或者 ,没有 &'4&4 权限来操作。慢查询日志的
中 !") 也是这权限。对于创建的备份表 !"H,如果日志内容有必要留
存,那么把这个表使用 !4!' 备份出来然后归档存放,如果没有必要留存,那么直接 4' 删除这
个 H 的表就可以了。
#6、关闭
##动态关闭
$9<.
1;&7)<4*7"77-
of 16
50墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
文档被以下合辑收录
评论