mysql數據庫中我們如果想記錄用戶的操作信息,可以通過audit審計功能來來實現。該功能是被自動觸發的,在文件plugin_audit.h中可以看到比較詳細的定義。在audit插件中,可控制的變量包括THD以及事件。
其中事件分為兩種結構體,可以進行強制轉換:
第一種:
- struct mysql_event_general
- {
- unsigned int event_subclass;
- int general_error_code;
- unsigned long general_thread_id;
- const char *general_user;
- unsigned int general_user_length;
- const char *general_command;
- unsigned int general_command_length;
- const char *general_query;
- unsigned int general_query_length;
- struct charset_info_st *general_charset;
- unsigned long long general_time;
- unsigned long long general_rows;
- };
觸發條件:
#define MYSQL_AUDIT_GENERAL_LOG 0 :在提交給general query log之前被觸發。
#define MYSQL_AUDIT_GENERAL_ERROR 1 :在發送給用戶錯誤之前觸發。
#define MYSQL_AUDIT_GENERAL_RESULT 2 : 當將結果集合發送給用戶後觸發。
#define MYSQL_AUDIT_GENERAL_STATUS 3 : 當發送一個結果集或發生錯誤時被觸發。
第二種:
- struct mysql_event_connection
- {
- unsigned int event_subclass;
- int status;
- unsigned long thread_id;
- const char *user;
- unsigned int user_length;
- const char *priv_user;
- unsigned int priv_user_length;
- const char *external_user;
- unsigned int external_user_length;
- const char *proxy_user;
- unsigned int proxy_user_length;
- const char *host;
- unsigned int host_length;
- const char *ip;
- unsigned int ip_length;
- const char *database;
- unsigned int database_length;
- };
觸發條件:
#define MYSQL_AUDIT_CONNECTION_CONNECT 0 : 完成認證後觸發。
#define MYSQL_AUDIT_CONNECTION_DISCONNECT 1 : 連接被中斷時觸發。
#define MYSQL_AUDIT_CONNECTION_CHANGE_USER 2 : 在執行COM_CHANGE_USER命令後觸發。
從上面的分析,我們可以看出,在event中存儲了相當豐富的信息,將notify函數進行了如下簡單的修改:
- static void audit_null_notify(MYSQL_THD thd __attribute__((unused)),
- unsigned int event_class,
- const void *event)
- {
- const struct mysql_event_general *pEvent;
- if (log_fp == NULL)
- log_fp = fopen("/tmp/rec.log", "a");
- number_of_calls++;
- if (event_class == MYSQL_AUDIT_GENERAL_CLASS && log_fp != NULL){
- pEvent = (const struct mysql_event_general *) event;
- if ( pEvent->event_subclass == MYSQL_AUDIT_GENERAL_RESULT &&
- pEvent->general_query != NULL
- && *(pEvent->general_query) != '\0') {
- // fprintf(log_fp, "user:%s,host:%s,command:%s\n",&thd->security_ctx->priv_user[0],
- // (char *) thd->security_ctx->host_or_ip ,
- // pEvent->general_query);
- time_t cur = time(NULL);
- fprintf(log_fp, "%s %s\n%s\n", ctime(&cur) , pEvent->general_user , pEvent->general_query);
- fflush(log_fp);
- }
- }
- }
這樣,我們實現了記錄用戶名、用戶主機信息以及sql操作等相關信息。
