Настройка получения событий c помощью плагина MariaDB Audit Plugin

KUMA позволяет проводить аудит событий c помощью плагина MariaDB Audit Plugin. Плагин поддерживает работу с MySQL 5.7 и MariaDB. Работа плагина аудита с MySQL 8 не поддерживается. Подробная информация о плагине доступна на официальном веб-сайте MariaDB.

Мы рекомендуем использовать плагин MariaDB Audit Plugin версии 1.2 и выше.

Настройка получения событий состоит из следующих этапов:

1. Настройка плагина MariaDB Audit Plugin для передачи событий MySQL и настройка Syslog-сервера для отправки событий.
2. Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB и настройка Syslog-сервера для отправки событий.
3. Создание коллектора KUMA для событий MySQL 5.7 и MariaDB.

   Для получения событий MySQL 5.7 и MariaDB c помощью плагина MariaDB Audit Plugin в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] MariaDB Audit Plugin syslog.

4. Установка коллектора в сетевой инфраструктуре KUMA.
5. Проверка поступления событий MySQL и MariaDB в коллектор KUMA.

   Чтобы проверить, что настройка сервера источника событий MySQL и MariaDB выполнена правильно, вы можете осуществить поиск связанных событий.

Настройка плагина MariaDB Audit Plugin для передачи событий MySQL

Плагин MariaDB Audit Plugin поддерживается для MySQL 5.7 версии до 5.7.30 и поставляется в комплекте с MariaDB.

Чтобы настроить передачу событий MySQL 5.7 с помощью плагина MariaDB Audit Plugin:

1. Скачайте дистрибутив MariaDB и распакуйте его.

   Дистрибутив MariaDB доступен на официальном веб-сайте MariaDB. Операционная система дистрибутива MariaDB должна совпадать с операционной системой, на которой функционирует MySQL 5.7.

2. Подключитесь к MySQL 5.7 под учетной записью с правами администратора, выполнив команду:

   mysql -u <имя пользователя> -p

3. Чтобы получить директорию, в которой расположены плагины MySQL 5.7, в командной строке MySQL 5.7 выполните команду:

   SHOW GLOBAL VARIABLES LIKE 'plugin_dir'

4. В директории, полученной на шаге 3, скопируйте плагин MariaDB Audit Plugin из директории <директория, куда был разархивирован дистрибутив>/mariadb-server-<версия>/lib/plugins/server_audit.so.
5. В командном интерпретаторе операционной системы выполните команду:

   chmod 755 <директория, куда был разархивирован дистрибутив>server_audit.so

   Например:

   chmod 755 /usr/lib64/mysql/plugin/server_audit.so

6. В командном интерпретаторе MySQL 5.7 выполните команду:

   install plugin server_audit soname 'server_audit.so'

7. Создайте резервную копию конфигурационного файла /etc/mysql/mysql.conf.d/mysqld.cnf.
8. В конфигурационном файле /etc/mysql/mysql.conf.d/mysqld.cnf в разделе [mysqld] добавьте следующие строки:

   server_audit_logging=1

   server_audit_events=connect,table,query_ddl,query_dml,query_dcl

   server_audit_output_type=SYSLOG

   server_audit_syslog_facility=LOG_SYSLOG

   Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.

9. Сохраните изменения в конфигурационном файле.
10. Перезапустите сервис MariaDB, выполнив одну из следующих команд:
    • systemctl restart mysqld — для системы инициализации systemd.
    • service mysqld restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MySQL 5.7 завершена. При необходимости вы можете выполнить следующие команды в командной строке MySQL 5.7:

• show plugins — для проверки списка текущих плагинов.
• SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB

Плагин MariaDB Audit Plugin входит в состав дистрибутива MariaDB, начиная с версий 5.5.37 и 10.0.10.

Чтобы настроить передачу событий MariaDB с помощью плагина MariaDB Audit Plugin:

1. Подключитесь к MariaDB под учетной записью с правами администратора, выполнив команду:

   mysql -u <имя пользователя> -p

2. Чтобы проверить, что плагин есть в директории, где размещены плагины операционной системы, в командной строке MariaDB выполните команду:

   SHOW GLOBAL VARIABLES LIKE 'plugin_dir'

3. В командном интерпретаторе операционной системы выполните команду:

   ll <директория, полученная в результате выполнения предыдущей команды> | grep server_audit.so

   Если вывод команды пуст и плагина нет в директории, вы можете скопировать плагин MariaDB Audit Plugin в эту директорию или использовать более новую версию MariaDB.

4. В командном интерпретаторе MariaDB выполните команду:

   install plugin server_audit soname 'server_audit.so'

5. Создайте резервную копию конфигурационного файла /etc/mysql/my.cnf.
6. В конфигурационном файле /etc/mysql/my.cnf в разделе [mysqld] добавьте следующие строки:

   server_audit_logging=1

   server_audit_events=connect,table,query_ddl,query_dml,query_dcl

   server_audit_output_type=SYSLOG

   server_audit_syslog_facility=LOG_SYSLOG

   Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.

7. Сохраните изменения в конфигурационном файле.
8. Перезапустите сервис MariaDB, выполнив одну из следующих команд:
   • systemctl restart mariadb — для системы инициализации systemd.
   • service mariadb restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MariaDB завершена. При необходимости вы можете выполнить следующие команды в командной строке MariaDB:

• show plugins — для проверки списка текущих плагинов.
• SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в коллектор используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена MySQL или MariaDB, в коллектор:

1. Перед внесением изменений создайте резервную копию конфигурационного файла /etc/rsyslog.conf.
2. Для отправки событий по протоколу UDP добавьте в конфигурационный файл /etc/rsyslog.conf строку:

   *.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

   Например:

   *.* @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, строка должна выглядеть следующим образом:

   *.* @@192.168.1.5:2514

   Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.

3. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service