有些元素出现在每个 <AUDIT_RECORD>元素中。其他是可选的，可能会出现，具体取决于审计记录类型。

<AUDIT_RECORD>不保证 元素内元素的顺序 。

元素值不是固定长度的。如稍后给出的元素描述中所示，长值可能会被截断。

、<、和字符分别 编码为>、 、 和 。NUL 字节 (U+00) 被编码为字符。 "&<>"&?

作为 XML 字符无效的字符使用数字字符引用进行编码。有效的 XML 字符是：

#x9 | #xA | #xD | [#x20-#xD7FF] | [#xE000-#xFFFD] | [#x10000-#x10FFFF]

<NAME>

表示生成审核事件的指令类型的字符串，例如服务器从客户端接收的命令。

例子：

<NAME>Query</NAME>

一些共同的<NAME>价值观：

Audit    When auditing starts, which may be server startup time
Connect  When a client connects, also known as logging in
Query    An SQL statement (executed directly)
Prepare  Preparation of an SQL statement; usually followed by Execute
Execute  Execution of an SQL statement; usually follows Prepare
Shutdown Server shutdown
Quit     When a client disconnects
NoAudit  Auditing has been turned off

可能 的 值为Audit, Binlog Dump, Change user, Close stmt, Connect Out, Connect, Create DB, Daemon, Debug, Delayed insert, Drop DB, Execute, Fetch, Field List, Init DB, Kill, Long Data, NoAudit, Ping, Prepare, Processlist, Query, Quit, Refresh, Register Slave, Reset stmt, Set option, Shutdown, 。Sleep_ StatisticsTable DumpTime

除了Audit和 之外NoAudit，这些值对应 于头文件 中列出的命令值 。例如， 和分别对应于 和 。 COM_xxxmysql_com.hCreate DBChange userCOM_CREATE_DBCOM_CHANGE_USER

<RECORD_ID>

审计记录的唯一标识符。该值由序列号和时间戳组成，格式为 SEQ_TIMESTAMP. 当审计日志插件打开审计日志文件时，它会将序列号初始化为审计日志文件的大小，然后为记录的每条记录将序列号递增 1。时间戳是一个 UTC 值， 格式表示审计日志插件打开文件的日期和时间。 YYYY-MM-DDThh:mm:ss

例子：

<RECORD_ID>12_2017-10-16T14:06:33</RECORD_ID>

<TIMESTAMP>

表示 UTC 值的字符串，其 格式指示生成审计事件的日期和时间。例如，对应于执行从客户端接收到的 SQL 语句的事件具有 在语句完成之后发生的值，而不是在接收到语句时发生的值。 YYYY-MM-DDThh:mm:ss UTC<TIMESTAMP>

例子：

<TIMESTAMP>2017-10-16T14:09:45 UTC</TIMESTAMP>

<COMMAND_CLASS>

指示执行的操作类型的字符串。

例子：

<COMMAND_CLASS>drop_table</COMMAND_CLASS>

这些值对应于 指示命令计数的状态变量；例如 and count 和 statements，分别。以下语句显示可能的名称： Com_xxxCom_drop_tableCom_selectDROP TABLESELECT

SELECT LOWER(REPLACE(VARIABLE_NAME, 'COM_', '')) AS name
FROM INFORMATION_SCHEMA.GLOBAL_STATUS
WHERE VARIABLE_NAME LIKE 'COM%'
ORDER BY name;

<CONNECTION_ID>

表示客户端连接标识符的无符号整数。CONNECTION_ID()这与会话中函数 返回的值相同 。

例子：

<CONNECTION_ID>127</CONNECTION_ID>

<DB>

表示默认数据库名称的字符串。

例子：

<DB>test</DB>

<HOST>

表示客户端主机名的字符串。

例子：

<HOST>localhost</HOST>

<IP>

表示客户端 IP 地址的字符串。

例子：

<IP>127.0.0.1</IP>

<MYSQL_VERSION>

表示 MySQL 服务器版本的字符串。VERSION()这与函数或 version系统变量 的值相同 。

例子：

<MYSQL_VERSION>5.6.39-log</MYSQL_VERSION>

<OS_LOGIN>

表示身份验证过程中使用的外部用户名的字符串，由用于对客户端进行身份验证的插件设置。使用本机（内置）MySQL 身份验证，或者如果插件未设置该值，则此元素为空。external_user该值与系统变量的值相同（请参阅第 6.2.12 节，“代理用户”）。

例子：

<OS_LOGIN>jeffrey</OS_LOGIN>

<OS_VERSION>

表示构建或运行服务器的操作系统的字符串。

例子：

<OS_VERSION>x86_64-Linux</OS_VERSION>

<PRIV_USER>

一个字符串，表示服务器将客户端验证为的用户。这是服务器用于权限检查的用户名，可能与<USER>值不同。

例子：

<PRIV_USER>jeffrey</PRIV_USER>

<PROXY_USER>

表示代理用户的字符串（请参阅 第 6.2.12 节，“代理用户”）。如果用户代理未生效，则该值为空。

例子：

<PROXY_USER>developer</PROXY_USER>

<SERVER_ID>

表示服务器 ID 的无符号整数。server_id这与系统变量 的值相同 。

例子：

<SERVER_ID>1</SERVER_ID>

<SQLTEXT>

表示 SQL 语句文本的字符串。该值可以为空。长值可能会被截断。该字符串与审计日志文件本身一样，是使用 UTF-8 编写的（每个字符最多 4 个字节），因此该值可能是转换后的结果。例如，原始语句可能是作为 SJIS 字符串从客户端收到的。

例子：

<SQLTEXT>DELETE FROM t1</SQLTEXT>

<STARTUP_OPTIONS>

一个字符串，表示在启动 MySQL 服务器时在命令行或选项文件中给出的选项。第一个选项是服务器可执行文件的路径。

例子：

<STARTUP_OPTIONS>/usr/local/mysql/bin/mysqld
  --port=3306 --log_output=FILE</STARTUP_OPTIONS>

<STATUS>

表示命令状态的无符号整数：0 表示成功，非零表示发生错误。mysql_errno()这与C API 函数的值相同 。<STATUS_CODE>有关它与 的区别的信息， 请参阅说明 <STATUS>。

审核日志不包含 SQLSTATE 值或错误消息。要查看错误代码、SQLSTATE 值和消息之间的关联，请参阅 服务器错误消息参考。

不记录警告。

例子：

<STATUS>1051</STATUS>

<STATUS_CODE>

表示命令状态的无符号整数：0 表示成功，1 表示发生错误。

该STATUS_CODE值与 以下值不同STATUS： STATUS_CODE0 表示成功，1 表示错误，这与 Audit Vault 的 EZ_collector 消费者兼容。STATUS是mysql_errno()C API 函数的值。这是 0 表示成功，非零表示错误，因此不一定是 1 表示错误。

例子：

<STATUS_CODE>0</STATUS_CODE>

<USER>

代表客户端发送的用户名的字符串。这可能与 <PRIV_USER>值不同。

例子：

<USER>root[root] @ localhost [127.0.0.1]</USER>

<VERSION>

表示审计日志文件格式版本的无符号整数。

例子：

<VERSION>1</VERSION>

有些属性出现在每个 <AUDIT_RECORD>元素中。其他是可选的，可能会出现，具体取决于审计记录类型。

<AUDIT_RECORD>不保证元素 内属性的顺序 。

属性值不是固定长度的。如稍后给出的属性描述中所示，长值可能会被截断。

、<、和字符分别 编码为>、 、 和 。NUL 字节 (U+00) 被编码为字符。 "&<>"&?

作为 XML 字符无效的字符使用数字字符引用进行编码。有效的 XML 字符是：

#x9 | #xA | #xD | [#x20-#xD7FF] | [#xE000-#xFFFD] | [#x10000-#x10FFFF]

NAME

表示生成审核事件的指令类型的字符串，例如服务器从客户端接收的命令。

例子：NAME="Query"

一些共同的NAME价值观：

Audit    When auditing starts, which may be server startup time
Connect  When a client connects, also known as logging in
Query    An SQL statement (executed directly)
Prepare  Preparation of an SQL statement; usually followed by Execute
Execute  Execution of an SQL statement; usually follows Prepare
Shutdown Server shutdown
Quit     When a client disconnects
NoAudit  Auditing has been turned off

可能 的 值为Audit, Binlog Dump, Change user, Close stmt, Connect Out, Connect, Create DB, Daemon, Debug, Delayed insert, Drop DB, Execute, Fetch, Field List, Init DB, Kill, Long Data, NoAudit, Ping, Prepare, Processlist, Query, Quit, Refresh, Register Slave, Reset stmt, Set option, Shutdown, 。Sleep_ StatisticsTable DumpTime

除了"Audit"和 之外"NoAudit"，这些值对应于头文件 中列出的命令值 。例如， 和分别对应于 和 。 COM_xxxmysql_com.h"Create DB""Change user"COM_CREATE_DBCOM_CHANGE_USER

RECORD_ID

审计记录的唯一标识符。该值由序列号和时间戳组成，格式为 SEQ_TIMESTAMP. 当审计日志插件打开审计日志文件时，它会将序列号初始化为审计日志文件的大小，然后为记录的每条记录将序列号递增 1。时间戳是一个 UTC 值， 格式表示审计日志插件打开文件的日期和时间。 YYYY-MM-DDThh:mm:ss

例子： RECORD_ID="12_2017-10-16T14:25:00"

TIMESTAMP

表示 UTC 值的字符串，其 格式指示生成审计事件的日期和时间。例如，对应于执行从客户端接收到的 SQL 语句的事件具有在语句完成之后发生的值，而不是在接收到语句时发生的值。 YYYY-MM-DDThh:mm:ss UTCTIMESTAMP

例子：TIMESTAMP="2017-10-16T14:25:32 UTC"

COMMAND_CLASS

指示执行的操作类型的字符串。

例子：COMMAND_CLASS="drop_table"

这些值对应于 指示命令计数的状态变量；例如 and count 和 statements，分别。以下语句显示可能的名称： Com_xxxCom_drop_tableCom_selectDROP TABLESELECT

SELECT LOWER(REPLACE(VARIABLE_NAME, 'COM_', '')) AS name
FROM INFORMATION_SCHEMA.GLOBAL_STATUS
WHERE VARIABLE_NAME LIKE 'COM%'
ORDER BY name;

CONNECTION_ID

表示客户端连接标识符的无符号整数。CONNECTION_ID()这与会话中函数 返回的值相同 。

例子：CONNECTION_ID="127"

DB

表示默认数据库名称的字符串。

例子：DB="test"

HOST

表示客户端主机名的字符串。

例子：HOST="localhost"

IP

表示客户端 IP 地址的字符串。

例子：IP="127.0.0.1"

MYSQL_VERSION

表示 MySQL 服务器版本的字符串。VERSION()这与函数或 version系统变量 的值相同 。

例子：MYSQL_VERSION="5.6.39-log"

OS_LOGIN

表示身份验证过程中使用的外部用户名的字符串，由用于对客户端进行身份验证的插件设置。使用本机（内置）MySQL 身份验证，或者如果插件未设置该值，则此属性为空。external_user该值与系统变量的值相同（请参阅第 6.2.12 节，“代理用户”）。

例子：OS_LOGIN="jeffrey"

OS_VERSION

表示构建或运行服务器的操作系统的字符串。

例子：OS_VERSION="x86_64-Linux"

PRIV_USER

一个字符串，表示服务器将客户端验证为的用户。这是服务器用于权限检查的用户名，它可能与USER值不同。

例子：PRIV_USER="jeffrey"

PROXY_USER

表示代理用户的字符串（请参阅 第 6.2.12 节，“代理用户”）。如果用户代理未生效，则该值为空。

例子：PROXY_USER="developer"

SERVER_ID

表示服务器 ID 的无符号整数。server_id这与系统变量 的值相同 。

例子：SERVER_ID="1"

SQLTEXT

表示 SQL 语句文本的字符串。该值可以为空。长值可能会被截断。该字符串与审计日志文件本身一样，是使用 UTF-8 编写的（每个字符最多 4 个字节），因此该值可能是转换后的结果。例如，原始语句可能是作为 SJIS 字符串从客户端收到的。

例子：SQLTEXT="DELETE FROM t1"

STARTUP_OPTIONS

一个字符串，表示在启动 MySQL 服务器时在命令行或选项文件中给出的选项。

例子：STARTUP_OPTIONS="--port=3306 --log_output=FILE"

STATUS

表示命令状态的无符号整数：0 表示成功，非零表示发生错误。mysql_errno()这与C API 函数的值相同 。STATUS_CODE有关它与 的区别的信息，请参阅说明 STATUS。

审核日志不包含 SQLSTATE 值或错误消息。要查看错误代码、SQLSTATE 值和消息之间的关联，请参阅 服务器错误消息参考。

不记录警告。

例子：STATUS="1051"

STATUS_CODE

表示命令状态的无符号整数：0 表示成功，1 表示发生错误。

该STATUS_CODE值与 以下值不同STATUS： STATUS_CODE0 表示成功，1 表示错误，这与 Audit Vault 的 EZ_collector 消费者兼容。STATUS是mysql_errno()C API 函数的值。这是 0 表示成功，非零表示错误，因此不一定是 1 表示错误。

例子：STATUS_CODE="0"

USER

代表客户端发送的用户名的字符串。这可能与PRIV_USER 值不同。

VERSION

表示审计日志文件格式版本的无符号整数。

例子：VERSION="1"