利用mysql的audit审计功能记录用户操作信息

mysql数据库中我们如果想记录用户的操作信息，可以通过audit审计功能来来实现。该功能是被自动触发的，在文件plugin_audit.h中看到的是比较详细的定义。在audit插件中，可控制的变量包括THD以及事件。

其中事件分为两种结构体，可以进行强制转换：

第一种：

struct mysql_event_general    {   unsigned int event_subclass;    int general_error_code;    unsigned long general_thread_id;    const char *general_user;    unsigned int general_user_length;    const char *general_command;    unsigned int general_command_length;    const char *general_query;    unsigned int general_query_length;    struct charset_info_st *general_charset;    unsigned long long general_time;    unsigned long long general_rows;    }; 

触发条件：

#define MYSQL_AUDIT_GENERAL_LOG 0 ：在提交给general query log之前被触发。

#define MYSQL_AUDIT_GENERAL_ERROR 1 ：在发送给用户错误之前触发。

#define MYSQL_AUDIT_GENERAL_RESULT 2 ： 当将结果集合发送给用户后触发。

#define MYSQL_AUDIT_GENERAL_STATUS 3  ：  当发送一个结果集或发生错误时被触发。

第二种：

struct mysql_event_connection    {   unsigned int event_subclass;    int status;    unsigned long thread_id;    const char *user;    unsigned int user_length;    const char *priv_user;    unsigned int priv_user_length;    const char *external_user;    unsigned int external_user_length;    const char *proxy_user;    unsigned int proxy_user_length;    const char *host;    unsigned int host_length;    const char *ip;    unsigned int ip_length;    const char *database;    unsigned int database_length;    }; 

触发条件：

#define MYSQL_AUDIT_CONNECTION_CONNECT 0 ：  完成认证后触发。

#define MYSQL_AUDIT_CONNECTION_DISCONNECT 1 ： 连接被中断时触发。

#define MYSQL_AUDIT_CONNECTION_CHANGE_USER 2 ： 在执行COM_CHANGE_USER命令后触发。

从上面的分析，我们可以看出，在event中存储了相当丰富的信息，将notify函数进行了如下简单的修改：

static void audit_null_notify(MYSQL_THD thd __attribute__((unused)),    unsigned int event_class,   const void *event)   {    const struct mysql_event_general *pEvent;   if (log_fp == NULL)   log_fp = fopen("/tmp/rec.log", "a");   number_of_calls++;   if (event_class == MYSQL_AUDIT_GENERAL_CLASS && log_fp != NULL){   pEvent = (const struct mysql_event_general *) event;   if ( pEvent->event_subclass == MYSQL_AUDIT_GENERAL_RESULT &&   pEvent->general_query != NULL   && *(pEvent->general_query) != '�') {    // fprintf(log_fp, "user:%s,host:%s,command:%sn",&thd->security_ctx->priv_user[0],    // (char *) thd->security_ctx->host_or_ip ,   // pEvent->general_query);   time_t cur = time(NULL);   fprintf(log_fp, "%s %sn%sn", ctime(&cur) , pEvent->general_user , pEvent->general_query);   fflush(log_fp);   }   }   } 

这样，我们实现了记录用户名、用户主机信息以及sql操作等相关信息。