Percona MySQL Audit to rsyslog

参数配置

    参数配置如下图,show global variables like '%audit%';

    audit_log_policy = QUERIES,只记录查询信息;

    audit_log_handler = SYSLOG,将日志信息记录到syslog中;

    audit_log_syslog_facility = LOG_LOCAL2,使用syslog中自定义的local2记录MySQL审计信息;

    audit_log_syslog_ident = mysql-audit,syslog中的标签信息;

    audit_log_syslog_priority = LOG_INFO,syslog的日志级别为info;


syslog相关简介

    syslog配置文件在/etc/rsyslog.conf,配置见下图:

    配置文件中每行表示一个项目,格式为:facility.level action,常见的facility有:kern 内核信息、user 用户进程信息、mail 电子邮件相关信息、daemon 后台进程相关信息、authpriv 包括特权信息如用户名在内的认证活动、cron 计划任务信息、syslog 系统日志信息、lpr 打印服务相关信息、news 新闻组服务器信息、uucp uucp 生成的信息、local0—-local7 本地用户信息。

    重要级是选择条件的第二个字段,它代表消息的紧急程度,按严重程度由低到高排序:debug 不包含函数条件或问题的其他信息、info 提供信息的消息、none 没有重要级,通常用于排错、notice 具有重要性的普通条件、warning 预警信息、err 阻止工具或某些子系统部分功能实现的错误条件、crit 阻止某些工具或子系统功能实现的错误条件、alert 需要立即被修改的条件、emerg 该系统不可用 。

    因此,根据Percona MySQL Audit的参数,syslog的配置为:


syslog服务器

    将MySQL Audit log记录到本地,不方便统一管理。因此,将日志文件发送到syslog服务器。

    192.168.1.1就是统一存放syslog的服务器地址。为了接受日志文件,需要将/etc/sysconfig/rsyslog文件中修改为SYSLOGD_OPTIONS="-r -x -m 0",通过514端口与客户机通信。

    为了规则存放,在/etc/rsyslog.conf中添加如下代码,审计日志将按照日期规则摆放,方便后期处理:


日志分析

    使用filebeat采集日志,存到ES中,方便后续分析处理。filebeat配置如下:

    数据存到ES后,就可以使用kibana来定制所需报表了,O(∩_∩)O哈哈~

    Percona MySQL Audit的安装配置,见之前的:MSQL审计

你可能感兴趣的:(Percona MySQL Audit to rsyslog)