mysql数据库中我们如果想记录用户的操作信息,可以通过audit审计功能来来实现。该功能是被自动触发的,在文件plugin_audit.h中看到的是比较详细的定义。在audit插件中,可控制的变量包括THD以及事件。
其中事件分为两种结构体,可以进行强制转换:
第一种:
struct mysql_event_general { unsigned int event_subclass; int general_error_code; unsigned long general_thread_id; const char *general_user; unsigned int general_user_length; const char *general_command; unsigned int general_command_length; const char *general_query; unsigned int general_query_length; struct charset_info_st *general_charset; unsigned long long general_time; unsigned long long general_rows; };
触发条件:
#define MYSQL_AUDIT_GENERAL_LOG 0 :在提交给general query log之前被触发。
#define MYSQL_AUDIT_GENERAL_ERROR 1 :在发送给用户错误之前触发。
#define MYSQL_AUDIT_GENERAL_RESULT 2 : 当将结果集合发送给用户后触发。
#define MYSQL_AUDIT_GENERAL_STATUS 3 : 当发送一个结果集或发生错误时被触发。
第二种:
struct mysql_event_connection { unsigned int event_subclass; int status; unsigned long thread_id; const char *user; unsigned int user_length; const char *priv_user; unsigned int priv_user_length; const char *external_user; unsigned int external_user_length; const char *proxy_user; unsigned int proxy_user_length; const char *host; unsigned int host_length; const char *ip; unsigned int ip_length; const char *database; unsigned int database_length; };
触发条件:
#define MYSQL_AUDIT_CONNECTION_CONNECT 0 : 完成认证后触发。
#define MYSQL_AUDIT_CONNECTION_DISCONNECT 1 : 连接被中断时触发。
#define MYSQL_AUDIT_CONNECTION_CHANGE_USER 2 : 在执行COM_CHANGE_USER命令后触发。
从上面的分析,我们可以看出,在event中存储了相当丰富的信息,将notify函数进行了如下简单的修改:
static void audit_null_notify(MYSQL_THD thd __attribute__((unused)), unsigned int event_class, const void *event) { const struct mysql_event_general *pEvent; if (log_fp == NULL) log_fp = fopen("/tmp/rec.log", "a"); number_of_calls++; if (event_class == MYSQL_AUDIT_GENERAL_CLASS && log_fp != NULL){ pEvent = (const struct mysql_event_general *) event; if ( pEvent->event_subclass == MYSQL_AUDIT_GENERAL_RESULT && pEvent->general_query != NULL && *(pEvent->general_query) != '') { // fprintf(log_fp, "user:%s,host:%s,command:%sn",&thd->security_ctx->priv_user[0], // (char *) thd->security_ctx->host_or_ip , // pEvent->general_query); time_t cur = time(NULL); fprintf(log_fp, "%s %sn%sn", ctime(&cur) , pEvent->general_user , pEvent->general_query); fflush(log_fp); } } }
这样,我们实现了记录用户名、用户主机信息以及sql操作等相关信息。