有些元素出现在每个 <AUDIT_RECORD>元素中。其他是可选的，可能会出现，具体取决于审计记录类型。

<AUDIT_RECORD>不保证 元素内元素的顺序 。

元素值不是固定长度的。如稍后给出的元素描述中所示，长值可能会被截断。

、<、和字符分别 编码为>、 、 和 。NUL 字节 (U+00) 被编码为字符。 "&<>"&?

作为 XML 字符无效的字符使用数字字符引用进行编码。有效的 XML 字符是：

#x9 | #xA | #xD | [#x20-#xD7FF] | [#xE000-#xFFFD] | [#x10000-#x10FFFF]

<NAME>

表示生成审核事件的指令类型的字符串，例如服务器从客户端接收的命令。

例子：

<NAME>Query</NAME>

一些共同的<NAME>价值观：

Audit    When auditing starts, which may be server startup time
Connect  When a client connects, also known as logging in
Query    An SQL statement (executed directly)
Prepare  Preparation of an SQL statement; usually followed by Execute
Execute  Execution of an SQL statement; usually follows Prepare
Shutdown Server shutdown
Quit     When a client disconnects
NoAudit  Auditing has been turned off

可能 的 值为Audit, Binlog Dump, Change user, Close stmt, Connect Out, Connect, Create DB, Daemon, Debug, Delayed insert, Drop DB, Execute, Fetch, Field List, Init DB, Kill, Long Data, NoAudit, Ping, Prepare, Processlist, Query, Quit, Refresh, Register Slave, Reset stmt, Set option, Shutdown, Sleep, Statistics, Table Dump, TableDelete, TableInsert, TableRead。 TableUpdateTime

其中许多值对应 于头文件 中列出的命令值 。例如，和分别对应于 和 。 COM_xxxmy_command.hCreate DBChange userCOM_CREATE_DBCOM_CHANGE_USER

具有 伴随事件<NAME>值的 事件。例如，以下语句生成一个 事件、两个 事件和一个 事件： TableXXXQueryQueryTableReadTableInsert

INSERT INTO t3 SELECT t1.* FROM t1 JOIN t2;

每个 事件都包含和 元素，用于标识事件所引用的表以及包含该表的数据库。 TableXXX<TABLE><DB>

<RECORD_ID>

审计记录的唯一标识符。该值由序列号和时间戳组成，格式为 SEQ_TIMESTAMP. 当审计日志插件打开审计日志文件时，它会将序列号初始化为审计日志文件的大小，然后为记录的每条记录将序列号递增 1。时间戳是一个 UTC 值， 格式表示审计日志插件打开文件的日期和时间。 YYYY-MM-DDThh:mm:ss

例子：

<RECORD_ID>12_2019-10-03T14:06:33</RECORD_ID>

<TIMESTAMP>

表示 UTC 值的字符串，其 格式指示生成审计事件的日期和时间。例如，对应于执行从客户端接收到的 SQL 语句的事件具有 在语句完成之后发生的值，而不是在接收到语句时发生的值。 YYYY-MM-DDThh:mm:ss UTC<TIMESTAMP>

例子：

<TIMESTAMP>2019-10-03T14:09:45 UTC</TIMESTAMP>

<COMMAND_CLASS>

指示执行的操作类型的字符串。

例子：

<COMMAND_CLASS>drop_table</COMMAND_CLASS>

这些值对应于 命令计数器。例如， 分别是 is 和 for and 语句。以下语句显示可能的名称： statement/sql/xxxxxxdrop_tableselectDROP TABLESELECT

SELECT REPLACE(EVENT_NAME, 'statement/sql/', '') AS name
FROM performance_schema.events_statements_summary_global_by_event_name
WHERE EVENT_NAME LIKE 'statement/sql/%'
ORDER BY name;

<CONNECTION_ID>

表示客户端连接标识符的无符号整数。CONNECTION_ID()这与会话中函数 返回的值相同 。

例子：

<CONNECTION_ID>127</CONNECTION_ID>

<CONNECTION_TYPE>

与服务器连接的安全状态。允许的值为TCP/IP（未加密建立的 TCP/IP 连接）、 SSL/TLS（加密建立的 TCP/IP 连接）、Socket（Unix 套接字文件连接）、Named Pipe（Windows 命名管道连接）和Shared Memory（Windows 共享内存连接）。

例子：

<CONNECTION_TYPE>SSL/TLS</CONNECTION_TYPE>

<DB>

表示数据库名称的字符串。

例子：

<DB>test</DB>

对于连接事件，此元素指示默认数据库；如果没有默认数据库，则该元素为空。对于表访问事件，该元素指示被访问表所属的数据库。

<HOST>

表示客户端主机名的字符串。

例子：

<HOST>localhost</HOST>

<IP>

表示客户端 IP 地址的字符串。

例子：

<IP>127.0.0.1</IP>

<MYSQL_VERSION>

表示 MySQL 服务器版本的字符串。VERSION()这与函数或 version系统变量 的值相同 。

例子：

<MYSQL_VERSION>5.7.21-log</MYSQL_VERSION>

<OS_LOGIN>

表示身份验证过程中使用的外部用户名的字符串，由用于对客户端进行身份验证的插件设置。使用本机（内置）MySQL 身份验证，或者如果插件未设置该值，则此元素为空。external_user该值与系统变量的值相同（请参阅第 6.2.14 节，“代理用户”）。

例子：

<OS_LOGIN>jeffrey</OS_LOGIN>

<OS_VERSION>

表示构建或运行服务器的操作系统的字符串。

例子：

<OS_VERSION>x86_64-Linux</OS_VERSION>

<PRIV_USER>

一个字符串，表示服务器将客户端验证为的用户。这是服务器用于权限检查的用户名，可能与<USER>值不同。

例子：

<PRIV_USER>jeffrey</PRIV_USER>

<PROXY_USER>

表示代理用户的字符串（请参阅 第 6.2.14 节，“代理用户”）。如果用户代理未生效，则该值为空。

例子：

<PROXY_USER>developer</PROXY_USER>

<SERVER_ID>

表示服务器 ID 的无符号整数。server_id这与系统变量 的值相同 。

例子：

<SERVER_ID>1</SERVER_ID>

<SQLTEXT>

表示 SQL 语句文本的字符串。该值可以为空。长值可能会被截断。该字符串与审计日志文件本身一样，是使用 UTF-8 编写的（每个字符最多 4 个字节），因此该值可能是转换后的结果。例如，原始语句可能是作为 SJIS 字符串从客户端收到的。

例子：

<SQLTEXT>DELETE FROM t1</SQLTEXT>

<STARTUP_OPTIONS>

一个字符串，表示在启动 MySQL 服务器时在命令行或选项文件中给出的选项。第一个选项是服务器可执行文件的路径。

例子：

<STARTUP_OPTIONS>/usr/local/mysql/bin/mysqld
  --port=3306 --log_output=FILE</STARTUP_OPTIONS>

<STATUS>

表示命令状态的无符号整数：0 表示成功，非零表示发生错误。mysql_errno()这与C API 函数的值相同 。<STATUS_CODE>有关它与 的区别的信息， 请参阅说明 <STATUS>。

审核日志不包含 SQLSTATE 值或错误消息。要查看错误代码、SQLSTATE 值和消息之间的关联，请参阅 服务器错误消息参考。

不记录警告。

例子：

<STATUS>1051</STATUS>

<STATUS_CODE>

表示命令状态的无符号整数：0 表示成功，1 表示发生错误。

该STATUS_CODE值与 以下值不同STATUS： STATUS_CODE0 表示成功，1 表示错误，这与 Audit Vault 的 EZ_collector 消费者兼容。STATUS是mysql_errno()C API 函数的值。这是 0 表示成功，非零表示错误，因此不一定是 1 表示错误。

例子：

<STATUS_CODE>0</STATUS_CODE>

<TABLE>

表示表名的字符串。

例子：

<TABLE>t3</TABLE>

<USER>

代表客户端发送的用户名的字符串。这可能与 <PRIV_USER>值不同。

例子：

<USER>root[root] @ localhost [127.0.0.1]</USER>

<VERSION>

表示审计日志文件格式版本的无符号整数。

例子：

<VERSION>1</VERSION>

有些属性出现在每个 <AUDIT_RECORD>元素中。其他是可选的，可能会出现，具体取决于审计记录类型。

<AUDIT_RECORD>不保证元素 内属性的顺序 。

属性值不是固定长度的。如稍后给出的属性描述中所示，长值可能会被截断。

、<、和字符分别 编码为>、 、 和 。NUL 字节 (U+00) 被编码为字符。 "&<>"&?

作为 XML 字符无效的字符使用数字字符引用进行编码。有效的 XML 字符是：

#x9 | #xA | #xD | [#x20-#xD7FF] | [#xE000-#xFFFD] | [#x10000-#x10FFFF]

NAME

表示生成审核事件的指令类型的字符串，例如服务器从客户端接收的命令。

例子：NAME="Query"

一些共同的NAME价值观：

Audit    When auditing starts, which may be server startup time
Connect  When a client connects, also known as logging in
Query    An SQL statement (executed directly)
Prepare  Preparation of an SQL statement; usually followed by Execute
Execute  Execution of an SQL statement; usually follows Prepare
Shutdown Server shutdown
Quit     When a client disconnects
NoAudit  Auditing has been turned off

可能 的 值为Audit, Binlog Dump, Change user, Close stmt, Connect Out, Connect, Create DB, Daemon, Debug, Delayed insert, Drop DB, Execute, Fetch, Field List, Init DB, Kill, Long Data, NoAudit, Ping, Prepare, Processlist, Query, Quit, Refresh, Register Slave, Reset stmt, Set option, Shutdown, Sleep, Statistics, Table Dump, TableDelete, TableInsert, TableRead。 TableUpdateTime

其中许多值对应 于头文件 中列出的命令值 。例如，和 分别对应于 和 。 COM_xxxmy_command.h"Create DB""Change user"COM_CREATE_DBCOM_CHANGE_USER

具有 伴随事件NAME值的 事件。例如，以下语句生成一个 事件、两个 事件和一个 事件： TableXXXQueryQueryTableReadTableInsert

INSERT INTO t3 SELECT t1.* FROM t1 JOIN t2;

每个 事件都有和 属性来标识事件所引用的表和包含该表的数据库。 TableXXXTABLEDB

RECORD_ID

审计记录的唯一标识符。该值由序列号和时间戳组成，格式为 SEQ_TIMESTAMP. 当审计日志插件打开审计日志文件时，它会将序列号初始化为审计日志文件的大小，然后为记录的每条记录将序列号递增 1。时间戳是一个 UTC 值， 格式表示审计日志插件打开文件的日期和时间。 YYYY-MM-DDThh:mm:ss

例子： RECORD_ID="12_2019-10-03T14:25:00"

TIMESTAMP

表示 UTC 值的字符串，其 格式指示生成审计事件的日期和时间。例如，对应于执行从客户端接收到的 SQL 语句的事件具有在语句完成之后发生的值，而不是在接收到语句时发生的值。 YYYY-MM-DDThh:mm:ss UTCTIMESTAMP

例子：TIMESTAMP="2019-10-03T14:25:32 UTC"

COMMAND_CLASS

指示执行的操作类型的字符串。

例子：COMMAND_CLASS="drop_table"

这些值对应于 命令计数器。例如， 分别是 is 和 for and 语句。以下语句显示可能的名称： statement/sql/xxxxxxdrop_tableselectDROP TABLESELECT

SELECT REPLACE(EVENT_NAME, 'statement/sql/', '') AS name
FROM performance_schema.events_statements_summary_global_by_event_name
WHERE EVENT_NAME LIKE 'statement/sql/%'
ORDER BY name;

CONNECTION_ID

表示客户端连接标识符的无符号整数。CONNECTION_ID()这与会话中函数 返回的值相同 。

例子：CONNECTION_ID="127"

CONNECTION_TYPE

与服务器连接的安全状态。允许的值为TCP/IP（未加密建立的 TCP/IP 连接）、 SSL/TLS（加密建立的 TCP/IP 连接）、Socket（Unix 套接字文件连接）、Named Pipe（Windows 命名管道连接）和Shared Memory（Windows 共享内存连接）。

例子：CONNECTION_TYPE="SSL/TLS"

DB

表示数据库名称的字符串。

例子：DB="test"

对于连接事件，该属性表示默认数据库；如果没有默认数据库，则该属性为空。对于表访问事件，该属性指示被访问表所属的数据库。

HOST

表示客户端主机名的字符串。

例子：HOST="localhost"

IP

表示客户端 IP 地址的字符串。

例子：IP="127.0.0.1"

MYSQL_VERSION

表示 MySQL 服务器版本的字符串。VERSION()这与函数或 version系统变量 的值相同 。

例子：MYSQL_VERSION="5.7.21-log"

OS_LOGIN

表示身份验证过程中使用的外部用户名的字符串，由用于对客户端进行身份验证的插件设置。使用本机（内置）MySQL 身份验证，或者如果插件未设置该值，则此属性为空。external_user该值与系统变量的值相同（请参阅第 6.2.14 节，“代理用户”）。

例子：OS_LOGIN="jeffrey"

OS_VERSION

表示构建或运行服务器的操作系统的字符串。

例子：OS_VERSION="x86_64-Linux"

PRIV_USER

一个字符串，表示服务器将客户端验证为的用户。这是服务器用于权限检查的用户名，它可能与USER值不同。

例子：PRIV_USER="jeffrey"

PROXY_USER

表示代理用户的字符串（请参阅 第 6.2.14 节，“代理用户”）。如果用户代理未生效，则该值为空。

例子：PROXY_USER="developer"

SERVER_ID

表示服务器 ID 的无符号整数。server_id这与系统变量 的值相同 。

例子：SERVER_ID="1"

SQLTEXT

表示 SQL 语句文本的字符串。该值可以为空。长值可能会被截断。该字符串与审计日志文件本身一样，是使用 UTF-8 编写的（每个字符最多 4 个字节），因此该值可能是转换后的结果。例如，原始语句可能是作为 SJIS 字符串从客户端收到的。

例子：SQLTEXT="DELETE FROM t1"

STARTUP_OPTIONS

一个字符串，表示在启动 MySQL 服务器时在命令行或选项文件中给出的选项。

例子：STARTUP_OPTIONS="--port=3306 --log_output=FILE"

STATUS

表示命令状态的无符号整数：0 表示成功，非零表示发生错误。mysql_errno()这与C API 函数的值相同 。STATUS_CODE有关它与 的区别的信息，请参阅说明 STATUS。

审核日志不包含 SQLSTATE 值或错误消息。要查看错误代码、SQLSTATE 值和消息之间的关联，请参阅 服务器错误消息参考。

不记录警告。

例子：STATUS="1051"

STATUS_CODE

表示命令状态的无符号整数：0 表示成功，1 表示发生错误。

该STATUS_CODE值与 以下值不同STATUS： STATUS_CODE0 表示成功，1 表示错误，这与 Audit Vault 的 EZ_collector 消费者兼容。STATUS是mysql_errno()C API 函数的值。这是 0 表示成功，非零表示错误，因此不一定是 1 表示错误。

例子：STATUS_CODE="0"

TABLE

表示表名的字符串。

例子：TABLE="t3"

USER

代表客户端发送的用户名的字符串。这可能与PRIV_USER 值不同。

VERSION

表示审计日志文件格式版本的无符号整数。

例子：VERSION="1"

有些项目出现在每个审计记录中。其他是可选的，可能会出现，具体取决于审计记录类型。

不能保证审计记录中项目的顺序。

项目值不是固定长度的。如后面给出的项目描述中所示，长值可能会被截断。

和字符分别 编码为"和。 \\"\\

account

与事件关联的 MySQL 帐户。该值是一个散列，包含这些项，这些项等同CURRENT_USER()于以下部分中函数的值：user, host。

例子：

"account": { "user": "root", "host": "localhost" }

class

表示事件类的字符串。event当与指定事件子类 的项目一起使用时，类定义事件的类型 。

例子：

"class": "connection"

下表显示了 class和event 值的允许组合。

connection_data

有关客户端连接的信息。该值是包含以下项目的散列： connection_type, status, db。此项仅出现在 class值为 的 审计记录中connection。

例子：

"connection_data": { "connection_type": "ssl",
                     "status": 0,
                     "db": "test" }

connection_id

表示客户端连接标识符的无符号整数。CONNECTION_ID()这与会话中函数 返回的值相同 。

例子：

"connection_id": 5

event

表示事件类的子类的字符串。class当与指定事件类的项目一起使用时，子类定义事件的类型。有关更多信息，请参阅 class项目描述。

例子：

"event": "connect"

general_data

有关已执行的语句或命令的信息。该值是包含这些项目的散列： command, sql_command, query, status。此项仅出现在class值为 的 审计记录中general。

例子：

"general_data": { "command": "Query",
                  "sql_command": "show_variables",
                  "query": "SHOW VARIABLES",
                  "status": 0 }

id

表示事件 ID 的无符号整数。

例子：

"id": 2

对于具有相同 timestamp值的审计记录，它们的 id值将它们区分开来并形成一个序列。在审核日志中， timestamp/id对是唯一的。这些对是标识日志中事件位置的书签。

login

指示客户端如何连接到服务器的信息。该值是包含这些项目的散列： user, os, ip, proxy。

例子：

"login": { "user": "root", "os": "", "ip": "::1", "proxy": "" }

shutdown_data

有关审计日志插件终止的信息。该值是包含这些项目的散列： server_id该项目仅出现在 和 的审计记录中class， 分别 event为 audit和。shutdown

例子：

"shutdown_data": { "server_id": 1 }

startup_data

有关审计日志插件初始化的信息。该值是包含这些项目的散列： server_id, os_version, mysql_version, args。此项仅针对分别具有 和 class和event 的值的审计记录出现。 auditstartup

例子：

"startup_data": { "server_id": 1,
                  "os_version": "i686-Linux",
                  "mysql_version": "5.7.21-log",
                  "args": ["/usr/local/mysql/bin/mysqld",
                           "--loose-audit-log-format=JSON",
                           "--log-error=log.err",
                           "--pid-file=mysqld.pid",
                           "--port=3306" ] }

table_access_data

有关对表的访问的信息。该值是包含以下项目的散列：db, table, query, , 该项目仅出现在值为 的 sql_command审计记录中。 classtable_access

例子：

"table_access_data": { "db": "test",
                       "table": "t1",
                       "query": "INSERT INTO t1 (i) VALUES(1),(2),(3)",
                       "sql_command": "insert" }

time

该字段与字段中的字段类似 timestamp，但值为整数，表示UNIX时间戳值，表示审计事件产生的日期和时间。

例子：

"time" : 1618498687

仅当启用系统变量 时， 该time字段才会出现在 JSON 格式的日志文件 中。audit_log_format_unix_timestamp

timestamp

表示 UTC 值的字符串，其 YYYY-MM-DD hh:mm:ss格式指示生成审计事件的日期和时间。例如，对应于执行从客户端接收到的 SQL 语句的事件具有 timestamp在语句完成之后发生的值，而不是在接收到语句时发生的值。

例子：

"timestamp": "2019-10-03 13:50:01"

对于具有相同 timestamp值的审计记录，它们的 id值将它们区分开来并形成一个序列。在审核日志中， timestamp/id对是唯一的。这些对是标识日志中事件位置的书签。

args

启动 MySQL 服务器时在命令行或选项文件中给出的一组选项。第一个选项是服务器可执行文件的路径。

例子：

"args": ["/usr/local/mysql/bin/mysqld",
         "--loose-audit-log-format=JSON",
         "--log-error=log.err",
         "--pid-file=mysqld.pid",
         "--port=3306" ]

command

表示生成审核事件的指令类型的字符串，例如服务器从客户端接收的命令。

例子：

"command": "Query"

connection_type

与服务器连接的安全状态。允许的值为tcp/ip（未加密建立的 TCP/IP 连接）、 ssl（加密建立的 TCP/IP 连接）、socket（Unix 套接字文件连接）、named_pipe（Windows 命名管道连接）和shared_memory （Windows 共享内存连接）。

例子：

"connection_type": "tcp/tcp"

db

表示数据库名称的字符串。对于 connection_data，它是默认数据库。对于table_access_data，它是表数据库。

例子：

"db": "test"

host

表示客户端主机名的字符串。

例子：

"host": "localhost"

ip

表示客户端 IP 地址的字符串。

例子：

"ip": "::1"

mysql_version

表示 MySQL 服务器版本的字符串。VERSION()这与函数或 version系统变量 的值相同 。

例子：

"mysql_version": "5.7.21-log"

os

表示身份验证过程中使用的外部用户名的字符串，由用于对客户端进行身份验证的插件设置。使用本机（内置）MySQL 身份验证，或者如果插件未设置该值，则此属性为空。external_user该值与系统变量的值相同。请参阅第 6.2.14 节，“代理用户”。

例子：

"os": "jeffrey"

os_version

表示构建或运行服务器的操作系统的字符串。

例子：

"os_version": "i686-Linux"

proxy

表示代理用户的字符串（请参阅 第 6.2.14 节，“代理用户”）。如果用户代理未生效，则该值为空。

例子：

"proxy": "developer"

query

表示 SQL 语句文本的字符串。该值可以为空。长值可能会被截断。该字符串与审计日志文件本身一样，是使用 UTF-8 编写的（每个字符最多 4 个字节），因此该值可能是转换后的结果。例如，原始语句可能是作为 SJIS 字符串从客户端收到的。

例子：

"query": "DELETE FROM t1"

server_id

An unsigned integer representing the server ID. This is the same as the value of the server_id system variable.

Example:

"server_id": 1

sql_command

A string that indicates the SQL statement type.

Example:

"sql_command": "insert"

The values correspond to the statement/sql/xxx command counters. For example, xxx is drop_table and select for DROP TABLE and SELECT statements, respectively. The following statement displays the possible names:

SELECT REPLACE(EVENT_NAME, 'statement/sql/', '') AS name
FROM performance_schema.events_statements_summary_global_by_event_name
WHERE EVENT_NAME LIKE 'statement/sql/%'
ORDER BY name;

status

An unsigned integer representing the command status: 0 for success, nonzero if an error occurred. This is the same as the value of the mysql_errno() C API function.

The audit log does not contain the SQLSTATE value or error message. To see the associations between error codes, SQLSTATE values, and messages, see Server Error Message Reference.

Warnings are not logged.

Example:

"status": 1051

table

A string representing a table name.

Example:

"table": "t1"

user

A string representing a user name. The meaning differs depending on the item within which user occurs:

例子：

"user": "root"