审计日志插件可以过滤审计的事件。这使您能够根据事件产生的帐户或事件状态来控制是否将已审计的事件写入审计日志文件。状态过滤分别针对连接事件和语句事件进行。
从 MySQL 5.6.20 开始,要根据原始帐户过滤审计事件,请在服务器启动或运行时设置以下系统变量之一:
audit_log_include_accounts
:要包含在审计日志中的帐户。如果设置了此变量,则仅审计这些帐户。audit_log_exclude_accounts
:要从审计日志中排除的帐户。如果设置了这个变量,除了这些账户之外的所有账户都会被审计。
任一变量的值可以是NULL
或一个字符串,其中包含一个或多个以逗号分隔的帐户名称,每个名称均采用
格式。默认情况下,这两个变量都是
,在这种情况下,不会进行任何帐户过滤,而是对所有帐户进行审计。
user_name
@host_name
NULL
对修改后创建的连接的修改
audit_log_include_accounts
或
audit_log_exclude_accounts
仅影响修改后创建的连接,而不影响现有连接。
示例:要仅为
主机帐户user1
和user2
本地主机帐户启用审计日志记录,请
audit_log_include_accounts
像这样设置系统变量:
SET GLOBAL audit_log_include_accounts = 'user1@localhost,user2@localhost';
一次只有一个
audit_log_include_accounts
或
audit_log_exclude_accounts
可以是非NULL
:
如果设置
audit_log_include_accounts
,服务器设置audit_log_exclude_accounts
为NULL
。如果您尝试设置 ,除非 是,否则会
audit_log_exclude_accounts
发生错误 。在这种情况下,您必须首先 通过将其设置为 来清除。audit_log_include_accounts
NULL
audit_log_include_accounts
NULL
-- This sets audit_log_exclude_accounts to NULL
SET GLOBAL audit_log_include_accounts = value;
-- This fails because audit_log_include_accounts is not NULL
SET GLOBAL audit_log_exclude_accounts = value;
-- To set audit_log_exclude_accounts, first set
-- audit_log_include_accounts to NULL
SET GLOBAL audit_log_include_accounts = NULL;
SET GLOBAL audit_log_exclude_accounts = value;
如果您检查任一变量的值,请注意
SHOW VARIABLES
显示
NULL
为空字符串。为避免这种情况,请
SELECT
改用:
mysql> SHOW VARIABLES LIKE 'audit_log_include_accounts';
+----------------------------+-------+
| Variable_name | Value |
+----------------------------+-------+
| audit_log_include_accounts | |
+----------------------------+-------+
mysql> SELECT @@audit_log_include_accounts;
+------------------------------+
| @@audit_log_include_accounts |
+------------------------------+
| NULL |
+------------------------------+
如果用户名或主机名因为包含逗号、空格或其他特殊字符而需要引号,请使用单引号将其引起来。如果变量值本身用单引号引起来,则将每个内部单引号加倍或用反斜杠将其转义。以下每个语句都为本地root
帐户启用审计日志记录并且是等效的,即使引用样式不同:
SET GLOBAL audit_log_include_accounts = 'root@localhost';
SET GLOBAL audit_log_include_accounts = '''root''@''localhost''';
SET GLOBAL audit_log_include_accounts = '\'root\'@\'localhost\'';
SET GLOBAL audit_log_include_accounts = "'root'@'localhost'";
ANSI_QUOTES
如果启用了 SQL 模式
,最后一条语句将不起作用,
因为在该模式下双引号表示标识符引用,而不是字符串引用。
从 MySQL 5.6.20 开始,要根据状态过滤审计事件,请在服务器启动或运行时设置这些系统变量:
audit_log_connection_policy
:连接事件的日志记录策略audit_log_statement_policy
:语句事件的日志记录策略
每个变量取一个值ALL
(记录所有关联的事件;这是默认值)、
ERRORS
(仅记录失败的事件)或
NONE
(不记录事件)。例如,要记录所有语句事件但仅记录失败的连接事件,请使用以下设置:
SET GLOBAL audit_log_statement_policy = ALL;
SET GLOBAL audit_log_connection_policy = ERRORS;
MySQL 5.6.20 之前,
audit_log_connection_policy
不可
audit_log_statement_policy
用。相反,
audit_log_policy
在服务器启动或运行时使用。它的值是ALL
(记录所有事件;这是默认值)、
LOGINS
(记录连接事件)、
QUERIES
(记录语句事件)或
NONE
(不记录事件)。对于这些值中的任何一个,审计日志插件都会记录所有选定的事件,而不区分成功或失败。
从 MySQL 5.6.20 开始,
audit_log_policy
仍然可用,但只能在服务器启动时设置。在运行时,它是一个只读变量。它在启动时的使用如下:
如果您未设置
audit_log_policy
或将其设置为其默认值ALL
,则任何显式设置audit_log_connection_policy
或audit_log_statement_policy
应用均按指定方式应用。如果未指定,它们默认为ALL
.如果设置
audit_log_policy
为非ALL
值,则该值优先于并用于设置audit_log_connection_policy
和audit_log_statement_policy
,如下表所示。如果您还将这些变量中的任何一个设置为默认值 以外的值ALL
,服务器会向错误日志写入一条消息,指示它们的值已被覆盖。启动 audit_log_policy 值 结果 audit_log_connection_policy 值 结果 audit_log_statement_policy 值 LOGINS
ALL
NONE
QUERIES
NONE
ALL
NONE
NONE
NONE