MySql中怎么配置日志审计

MySql中怎么配置日志审计,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

一、MySql审计配置

1,审计方法选择

使用数据库审计插件开启数据库审计会牺牲部分数据库性能,建议根据实际业务情况选择审计插件或旁路部署审计设备。

常见的MySql免费审计插件:mariadb 审计插件,macfee mysql-audit

我们以mariadb审计插件为例来完成配置安装与分析。

2,审计插件安装与配置

环境:windows server 2008 R2, phpstudy8.1, mysql 5.5.29, sqli-labs

官网下载mariadb-5.5.68版本,使用命令行执行以下命令,解压到目标目录

msiexec/癲: \ mariadb-5.5.68-winx64.msi"/qb TARGETDIR=癉: \ abc"

在MariaDB 5.5 \ lib \插件目录中提取需要的插件server_audit。dll,打开mysql命令行,查询插件目录

至此日志配置与所需的文件已备齐,以审计日志server_audit.log和数据。犯错为基础进行入侵分析。

二、实战思路

通过搭建sqli-labs测试环境,根据mysql日志,分析mysql暴力破解,手工注入,sqlmap os-shell三种攻击模式的日志记录,尽可能的还原攻击场景,追溯攻击源信息。

<强> 1,mysql暴力破解

mysql对外开放端口,使用mysql暴力破解时的日志信息

data.err 中记录了攻击的ip地址和第一次连接的时间

200909 10:15:41[警告]ip地址& # 39;192.168.106.180& # 39;无法解决:不知道这样的主机。

server_audit.log 从下图可以看的出,攻击者多线程破解,破解的账号根,攻击者ip 192.168.106.180返回代码1045,登陆成功后的执行了4个查询操作。

日志格式为:

[时间],[serverhost],[用户],[主机],[connectionid], [queryid],查询,(数据库),(对象),[retcode] 

可以根据账号,ip地址,返回代码进行日志筛选分析,登陆后查询操作特征,可以推测使用的破解工具。

<强> 2,sql注入攻击

使用sqli-labs模拟存在漏洞的应用,github下载sqli-labs代码复制到phpstudy www目录,运行项目,通过手动输入获取网站管理权限。

模拟场景:已知服务器被执行phpinfo,疑似被入侵,需要通过日志分析入侵点与获得权限的方法。

此次data.err无变化,我们分析nginx的访问。日志和审计插件的server_audit.log

发现access.log和server_audit。日志均记录了攻击是sql注入,并通过mysql输出文件写入后门到web目录,执行了phpinfo,触发报警。由于access.log不记录后请求的请求体,故server_audit。日志可以看到更详细的攻击细节。

MySql中怎么配置日志审计