次の各セクションでは、MySQL Enterprise Audit 要素のリファレンスを示します:
監査ログのテーブルおよび関数をインストールするには、セクション6.4.5.2「MySQL Enterprise Audit のインストールまたはアンインストール」 で提供されている手順を使用します。 これらのオブジェクトがインストールされていないかぎり、audit_log プラグインはレガシーモードで動作します。 セクション6.4.5.9「レガシーモード監査ログのフィルタリング」を参照してください。
MySQL Enterprise Audit では、フィルタおよびユーザーアカウントデータの永続的な格納に mysql システムデータベースのテーブルが使用されます。 テーブルにアクセスできるのは、そのデータベースに対する権限を持つユーザーのみです。 これらのテーブルは、InnoDB ストレージエンジンを使用します。
これらのテーブルがない場合、audit_log プラグインはレガシーモードで動作します。 セクション6.4.5.9「レガシーモード監査ログのフィルタリング」を参照してください。
audit_log_filter テーブルには、フィルタ定義が格納されます。 テーブルには次のカラムがあります。
-
NAMEフィルタ名。
-
FILTERフィルタ名に関連付けられたフィルタ定義。 定義は
JSON値として格納されます。
audit_log_user テーブルには、ユーザーアカウント情報が格納されます。 テーブルには次のカラムがあります。
-
USERアカウントのユーザー名部分。 アカウント
user1@localhostの場合、USER部分はuser1です。 -
HOSTアカウントのホスト名部分。 アカウント
user1@localhostの場合、HOST部分はlocalhostです。 -
FILTERNAMEアカウントに割り当てられたフィルタの名前。 フィルタ名は、アカウントを
audit_log_filterテーブルで定義されているフィルタに関連付けます。
このセクションでは、監査ログのユーザー定義関数 (UDF) ごとに、その目的、コール順序および戻り値について説明します。 これらの UDF を起動できる条件の詳細は、セクション6.4.5.7「監査ログのフィルタリング」 を参照してください。
各監査ログ UDF は、操作が成功したかどうかを示す文字列を返します。 OK は成功を示します。 ERROR: は失敗を示します。
message
MySQL 8.0.19 の時点では、監査ログ UDF は文字列引数を utf8mb4 に変換し、文字列戻り値は utf8mb4 文字列です。 MySQL 8.0.19 より前では、監査ログ UDF は文字列引数をバイナリ文字列として扱い (大文字と小文字を区別しない)、文字列の戻り値はバイナリ文字列です。
次の監査ログ UDF を使用できます:
-
audit_log_encryption_password_get([keyring_id])この関数は、監査ログの暗号化パスワードを MySQL キーリングからフェッチします。このキーリングは有効にする必要があり、有効にしないとエラーが発生します。 どのキーリングプラグインも使用できます。手順については、セクション6.4.4「MySQL キーリング」 を参照してください。
引数を指定しない場合、関数は現在の暗号化パスワードをバイナリ文字列として取得します。 取得する監査ログ暗号化パスワードを指定する引数を指定できます。 引数は、現在のパスワードまたはアーカイブされたパスワードのキーリング ID である必要があります。
監査ログの暗号化の詳細は、監査ログファイルの暗号化 を参照してください。
引数:
keyring_id: MySQL 8.0.17 では、このオプションの引数は取得するパスワードのキーリング ID を示します。 最大許容長は 766 バイトです。 省略すると、現在のパスワードが取得されます。MySQL 8.0.17 より前では、引数は使用できません。 この関数は、常に現在のパスワードを取得します。
戻り値:
成功のパスワード文字列 (最大 766 バイト)、または
NULLと失敗のエラー。例:
現在のパスワードを取得します:
mysql> SELECT audit_log_encryption_password_get(); +-------------------------------------+ | audit_log_encryption_password_get() | +-------------------------------------+ | secret | +-------------------------------------+ID でパスワードを取得するには、パフォーマンススキーマ
keyring_keysテーブルをクエリーすることによって、存在する監査ログ鍵リング ID を確認できます:mysql> SELECT KEY_ID FROM performance_schema.keyring_keys WHERE KEY_ID LIKE 'audit_log%' ORDER BY KEY_ID; +-----------------------------+ | KEY_ID | +-----------------------------+ | audit_log-20190415T152248-1 | | audit_log-20190415T153507-1 | | audit_log-20190416T125122-1 | | audit_log-20190416T141608-1 | +-----------------------------+ mysql> SELECT audit_log_encryption_password_get('audit_log-20190416T125122-1'); +------------------------------------------------------------------+ | audit_log_encryption_password_get('audit_log-20190416T125122-1') | +------------------------------------------------------------------+ | segreto | +------------------------------------------------------------------+ -
audit_log_encryption_password_set(password)現在の監査ログ暗号化パスワードを引数に設定し、パスワードを MySQL キーリングに格納します。 MySQL 8.0.19 では、パスワードは
utf8mb4文字列として格納されます。 MySQL 8.0.19 より前は、パスワードはバイナリ形式で格納されます。暗号化が有効な場合、この関数は、現在のログファイルの名前を変更するログファイルローテーション操作を実行し、パスワードで暗号化された新しいログファイルを開始します。 キーリングを有効にする必要があり、有効にしないとエラーが発生します。 どのキーリングプラグインも使用できます。手順については、セクション6.4.4「MySQL キーリング」 を参照してください。
監査ログの暗号化の詳細は、監査ログファイルの暗号化 を参照してください。
引数:
password: パスワード文字列。 最大許容長は 766 バイトです。戻り値:
成功の場合は 1、失敗の場合は 0。
例:
mysql> SELECT audit_log_encryption_password_set(password); +---------------------------------------------+ | audit_log_encryption_password_set(password) | +---------------------------------------------+ | 1 | +---------------------------------------------+ -
他のフィルタリング UDF を呼び出すと、操作監査ログのフィルタリングにただちに影響し、監査ログテーブルが更新されます。 かわりに、
INSERT、UPDATEおよびDELETEなどのステートメントを使用してこれらのテーブルの内容を直接変更しても、変更はフィルタリングにすぐには影響しません。 変更をフラッシュして操作可能にするには、audit_log_filter_flush()をコールします。警告audit_log_filter_flush()は、すべてのフィルタを強制的にリロードするために、監査テーブルを直接変更した後にのみ使用してください。 それ以外の場合は、この関数を使用しないでください。 実際には、UNINSTALL PLUGINとINSTALL PLUGINを使用したaudit_logプラグインのアンロードおよびリロードの簡略化されたバージョンです。audit_log_filter_flush()は、現在のすべてのセッションに影響を与え、以前のフィルタからデタッチします。 現在のセッションは、切断して再接続するか、ユーザー変更操作を実行しないかぎり、ログに記録されなくなります。この関数が失敗すると、エラーメッセージが返され、次に
audit_log_filter_flush()が正常にコールされるまで監査ログは無効になります。引数:
なし
戻り値:
操作が成功したかどうかを示す文字列。
OKは成功を示します。ERROR:は失敗を示します。message例:
mysql> SELECT audit_log_filter_flush(); +--------------------------+ | audit_log_filter_flush() | +--------------------------+ | OK | +--------------------------+ -
audit_log_filter_remove_filter(filter_name)フィルタ名を指定すると、現在のフィルタセットからフィルタが削除されます。 フィルタが存在しない場合はエラーではありません。
削除されたフィルタがいずれかのユーザーアカウントに割り当てられている場合、それらのユーザーはフィルタ処理を停止します (
audit_log_userテーブルから削除されます)。 フィルタリングの終了には、それらのユーザーの現在のセッションが含まれます: フィルタからデタッチされ、ログに記録されなくなります。引数:
filter_name: フィルタ名を指定する文字列。
戻り値:
操作が成功したかどうかを示す文字列。
OKは成功を示します。ERROR:は失敗を示します。message例:
mysql> SELECT audit_log_filter_remove_filter('SomeFilter'); +----------------------------------------------+ | audit_log_filter_remove_filter('SomeFilter') | +----------------------------------------------+ | OK | +----------------------------------------------+ -
audit_log_filter_remove_user(user_name)ユーザーアカウント名を指定すると、ユーザーはフィルタに割り当てられなくなります。 ユーザーにフィルタが割り当てられていない場合は、エラーになりません。 ユーザーの現在のセッションのフィルタリングは影響を受けません。 ユーザーの新しい接続は、デフォルトのアカウントフィルタ (存在する場合) を使用してフィルタされ、それ以外の場合はログに記録されません。
名前が
%の場合、関数は、明示的にフィルタが割り当てられていないユーザーアカウントに使用されるデフォルトのアカウントフィルタを削除します。引数:
user_name:user_name@host_name%。
戻り値:
操作が成功したかどうかを示す文字列。
OKは成功を示します。ERROR:は失敗を示します。message例:
mysql> SELECT audit_log_filter_remove_user('user1@localhost'); +-------------------------------------------------+ | audit_log_filter_remove_user('user1@localhost') | +-------------------------------------------------+ | OK | +-------------------------------------------------+ -
audit_log_filter_set_filter(filter_name,definition)フィルタ名と定義を指定すると、現在のフィルタセットにフィルタが追加されます。 フィルタがすでに存在し、現在のセッションで使用されている場合、それらのセッションはフィルタからデタッチされ、ログに記録されなくなります。 これは、新しいフィルタ定義に以前の ID とは異なる新しいフィルタ ID があるために発生します。
引数:
filter_name: フィルタ名を指定する文字列。definition: フィルタ定義を指定するJSON値。
戻り値:
操作が成功したかどうかを示す文字列。
OKは成功を示します。ERROR:は失敗を示します。message例:
mysql> SET @f = '{ "filter": { "log": false } }'; mysql> SELECT audit_log_filter_set_filter('SomeFilter', @f); +-----------------------------------------------+ | audit_log_filter_set_filter('SomeFilter', @f) | +-----------------------------------------------+ | OK | +-----------------------------------------------+ -
audit_log_filter_set_user(user_name,filter_name)ユーザーアカウント名とフィルタ名を指定すると、ユーザーにフィルタが割り当てられます。 ユーザーには 1 つのフィルタのみを割り当てることができるため、ユーザーにフィルタがすでに割り当てられている場合は、割り当てが置き換えられます。 ユーザーの現在のセッションのフィルタリングは影響を受けません。 新しい接続は、新しいフィルタを使用してフィルタ処理されます。
特殊なケースとして、
%という名前はデフォルトのアカウントを表します。 フィルタは、フィルタが明示的に割り当てられていないユーザーアカウントからの接続に使用されます。引数:
user_name:user_name@host_name%。filter_name: フィルタ名を指定する文字列。
戻り値:
操作が成功したかどうかを示す文字列。
OKは成功を示します。ERROR:は失敗を示します。message例:
mysql> SELECT audit_log_filter_set_user('user1@localhost', 'SomeFilter'); +------------------------------------------------------------+ | audit_log_filter_set_user('user1@localhost', 'SomeFilter') | +------------------------------------------------------------+ | OK | +------------------------------------------------------------+ -
監査ログを読み取り、
JSON文字列の結果を返します。 監査ログ形式がJSONでない場合は、エラーが発生します。引数または
JSONハッシュ引数を指定しない場合、audit_log_read()は監査ログからイベントを読み取り、監査イベントの配列を含むJSON文字列を返します。 hash 引数の項目は、あとで説明するように、読み取りの発生方法に影響します。 返される配列内の各要素は、JSONハッシュとして表されるイベントですが、最後の要素がJSONnull値であり、次のイベントを読み取ることができないことを示す例外があります。JSONnull値で構成される引数を使用すると、audit_log_read()は現在の読取り順序をクローズします。監査ログの読取りプロセスの詳細は、セクション6.4.5.6「監査ログファイルの読取り」 を参照してください。
引数:
最後に書き込まれたイベントのブックマークを取得するには、
audit_log_read_bookmark()をコールします。arg: 引数はオプションです。 省略すると、関数は現在の位置からイベントを読み取ります。 引数が存在する場合は、読取り順序をクローズするJSONnull値またはJSONハッシュを指定できます。 ハッシュ引数内では、項目はオプションであり、読取りを開始する位置や読み取るイベントの数など、読取り操作の側面を制御します。 次の項目は重要です (他の項目は無視されます):-
start: 最初に読み取るイベントの監査ログ内の位置。 位置はタイムスタンプとして指定され、タイムスタンプ値以降に発生する最初のイベントから読取りが開始されます。startアイテムの形式は次のとおりです。ここで、valueはリテラルのタイムスタンプ値です:"start": { "timestamp": "value" }start品目は、MySQL 8.0.22 で許可されています。 timestamp,id: 最初に読み取るイベントの監査ログ内の位置。timestampアイテムとidアイテムは、特定のイベントを一意に識別するブックマークで構成されます。audit_log_read()引数にいずれかの項目が含まれている場合、位置を完全に指定するには両方を含める必要があります。そうしないと、エラーが発生します。max_array_length: ログから読み取るイベントの最大数。 この項目を省略した場合、デフォルトでは、ログの最後まで、または読取りバッファがいっぱいになるまで (いずれか早い方まで) 読み取られます。
開始位置を
audit_log_read()に指定するには、startアイテムまたはtimestampアイテムとidアイテムで構成されるブックマークを含むハッシュ引数を渡します。 ハッシュ引数にstartアイテムとブックマークの両方が含まれている場合は、エラーが発生します。ハッシュ引数で開始位置が指定されていない場合、読取りは現在の位置から続行されます。
タイムスタンプ値に時間部分が含まれていない場合は、
00:00:00の時間部分が想定されます。戻り値:
コールが成功した場合、戻り値は監査イベントの配列を含む
JSON文字列、または読取りシーケンスをクローズする引数として渡された場合はJSONnull値です。 コールが失敗すると、戻り値はNULLになり、エラーが発生します。例:
mysql> SELECT audit_log_read(audit_log_read_bookmark()); +-----------------------------------------------------------------------+ | audit_log_read(audit_log_read_bookmark()) | +-----------------------------------------------------------------------+ | [ {"timestamp":"2020-05-18 22:41:24","id":0,"class":"connection", ... | +-----------------------------------------------------------------------+ mysql> SELECT audit_log_read('null'); +------------------------+ | audit_log_read('null') | +------------------------+ | null | +------------------------+メモ:
MySQL 8.0.19 より前では、文字列の戻り値はバイナリ
JSON文字列です。 このような値を非バイナリ文字列に変換する方法については、セクション6.4.5.6「監査ログファイルの読取り」 を参照してください。 -
-
最後に書き込まれた監査ログイベントのブックマークを表す
JSON文字列を返します。 監査ログ形式がJSONでない場合は、エラーが発生します。ブックマークは、監査ログ内のイベントの位置を一意に識別する
timestampおよびidアイテムを含むJSONハッシュです。audit_log_read()に渡して、その関数に読取りを開始する位置を示すのに適しています。監査ログの読取りプロセスの詳細は、セクション6.4.5.6「監査ログファイルの読取り」 を参照してください。
引数:
なし
戻り値:
成功のためのブックマーク、または失敗のための
NULLとエラーを含むJSON文字列。例:
mysql> SELECT audit_log_read_bookmark(); +-------------------------------------------------+ | audit_log_read_bookmark() | +-------------------------------------------------+ | { "timestamp": "2019-10-03 21:03:44", "id": 0 } | +-------------------------------------------------+メモ:
MySQL 8.0.19 より前では、文字列の戻り値はバイナリ
JSON文字列です。 このような値を非バイナリ文字列に変換する方法については、セクション6.4.5.6「監査ログファイルの読取り」 を参照してください。
表 6.37 「監査ログオプションおよび変数リファレンス」
このセクションでは、MySQL Enterprise Audit の操作を構成するコマンドオプションおよびシステム変数について説明します。 起動時に指定された値が正しくない場合、audit_log プラグインが正しく初期化されず、サーバーがロードしない可能性があります。 この場合、サーバーは他の監査ログ設定を認識しないため、エラーメッセージを生成することもあります。
監査ログプラグインのアクティブ化を構成するには、このオプションを使用します:
-
コマンド行形式 --audit-log[=value]型 列挙 デフォルト値 ON有効な値 ONOFFFORCEFORCE_PLUS_PERMANENTこのオプションは、サーバーの起動時に
audit_logプラグインをロードする方法を制御します。 プラグインが以前にINSTALL PLUGINに登録されているか、--plugin-loadまたは--plugin-load-addにロードされている場合にのみ使用できます。 セクション6.4.5.2「MySQL Enterprise Audit のインストールまたはアンインストール」を参照してください。セクション5.6.1「プラグインのインストールおよびアンインストール」で説明したように、オプションの値は、プラグインのロードオプションに指定可能な値のいずれかである必要があります。 たとえば、
--audit-log=FORCE_PLUS_PERMANENTは、プラグインをロードし、それがサーバーの実行時に削除されることを回避するようにサーバーに指示します。
監査ログプラグインが有効になっている場合、ロギングの制御を許可するいくつかのシステム変数が公開されます:
mysql> SHOW VARIABLES LIKE 'audit_log%';
+-----------------------------+--------------+
| Variable_name | Value |
+-----------------------------+--------------+
| audit_log_buffer_size | 1048576 |
| audit_log_connection_policy | ALL |
| audit_log_current_session | OFF |
| audit_log_exclude_accounts | |
| audit_log_file | audit.log |
| audit_log_filter_id | 0 |
| audit_log_flush | OFF |
| audit_log_format | NEW |
| audit_log_include_accounts | |
| audit_log_policy | ALL |
| audit_log_rotate_on_size | 0 |
| audit_log_statement_policy | ALL |
| audit_log_strategy | ASYNCHRONOUS |
+-----------------------------+--------------+これらの変数のいずれも、サーバーの起動時 (一部は実行時) に設定できます。 レガシーモードの監査ログフィルタリングでのみ使用可能なものは、このように記載されています。
-
コマンド行形式 --audit-log-buffer-size=#システム変数 audit_log_buffer_sizeスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 Integer デフォルト値 1048576最小値 4096最大値 (64 ビットプラットフォーム) 18446744073709547520最大値 (32 ビットプラットフォーム) 4294967295監査ログプラグインが非同期的にイベントをログに書き込むと、イベントの内容を書き込む前に、バッファーを使用してそれらを格納します。 この変数は、そのバッファーのサイズ (バイト単位) を制御します。 サーバーは、この値を 4096 の倍数に調整します。 このプラグインでは、初期化時に割り当てられ、終了時に削除される単一のバッファーが使用されます。 このプラグインは、ロギングが非同期の場合にのみ、このバッファーを割り当てます。
-
コマンド行形式 --audit-log-compression=valueシステム変数 audit_log_compressionスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 列挙 デフォルト値 NONE有効な値 NONEGZIP監査ログファイルの圧縮のタイプ。 許可される値は、
NONE(圧縮なし、デフォルト) およびGZIP(GNU Zip 圧縮) です。 詳細は、監査ログファイルの圧縮を参照してください。 -
コマンド行形式 --audit-log-connection-policy=valueシステム変数 audit_log_connection_policyスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 列挙 デフォルト値 ALL有効な値 ALLERRORSNONE注記この変数は、レガシーモードの監査ログフィルタリングにのみ適用されます (セクション6.4.5.9「レガシーモード監査ログのフィルタリング」 を参照)。
監査ログプラグインが接続イベントをそのログファイルに書き込む方法を制御するポリシーです。 次の表は、許可される値を示しています。
値 説明 ALL接続イベントのログをすべて記録します ERRORS失敗した接続イベントのログのみを記録します NONE接続イベントのログを記録しません 注記セクション6.4.5.5「監査ロギング特性の構成」で説明したように、
audit_log_policyも指定されている場合は、サーバーの起動時に、audit_log_connection_policyに明示的に指定された値がオーバーライドされる可能性があります。 -
システム変数 audit_log_current_sessionスコープ グローバル、セッション 動的 いいえ SET_VARヒントの適用いいえ 型 Boolean デフォルト値 depends on filtering policy現在のセッションで監査ロギングが有効になっているかどうかを示します。 この変数のセッションの値は、読み取り専用です。 セッションの開始時に、
audit_log_include_accountsおよびaudit_log_exclude_accountsシステム変数の値に基づいて設定されます。 監査ログプラグインはこのセッション値を使用して、そのセッションでイベントを監査するかどうかを決定します。 (グローバル値もありますが、このプラグインでは使用されません。) -
コマンド行形式 --audit-log-encryption=valueシステム変数 audit_log_encryptionスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 列挙 デフォルト値 NONE有効な値 NONEAES監査ログファイルの暗号化のタイプ。 許可される値は、
NONE(暗号化なし、デフォルト) およびAES(AES-256-CBC 暗号化) です。 詳細は、監査ログファイルの暗号化を参照してください。 -
コマンド行形式 --audit-log-exclude-accounts=valueシステム変数 audit_log_exclude_accountsスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 文字列 デフォルト値 NULL注記この変数は、レガシーモードの監査ログフィルタリングにのみ適用されます (セクション6.4.5.9「レガシーモード監査ログのフィルタリング」 を参照)。
イベントのログが記録されないアカウント。 この値には、
NULLまたはカンマで区切った 1 つ以上のアカウント名のリストを含む文字列を指定するようにしてください。 詳細は、セクション6.4.5.7「監査ログのフィルタリング」を参照してください。audit_log_exclude_accountsの変更は、変更後に作成された接続にのみ影響し、既存の接続には影響しません。 -
コマンド行形式 --audit-log-file=file_nameシステム変数 audit_log_fileスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 ファイル名 デフォルト値 audit.log監査ログプラグインがイベントを書き込むファイルのベース名と接尾辞。 ロギング形式に関係なく、デフォルト値は
audit.logです。 名前接尾辞をフォーマットに対応させるには、別の接尾辞を選択して、名前を明示的に設定します (たとえば、XML フォーマットの場合はaudit.xml、JSON フォーマットの場合はaudit.json)。audit_log_fileの値が相対パス名の場合、プラグインはデータディレクトリを基準にした相対パス名を解釈します。 値がフルパス名の場合、プラグインは値をそのまま使用します。 フルパス名は、監査ファイルを別のファイルシステムまたはディレクトリに配置することをお勧めします。 セキュリティ上の理由から、MySQL サーバーおよびログを表示する正当な理由を持つユーザーのみがアクセスできるディレクトリに監査ログファイルを書き込みます。監査ログプラグインが
audit_log_file値を解釈する方法と、プラグインの初期化および終了時に発生するファイル名変更の規則の詳細は、監査ログファイルのネーミング規則 を参照してください。監査ログプラグインは、読み取り可能な監査ログファイルを検索する場所として、(
audit_log_fileの値から決定された) 監査ログファイルを含むディレクトリを使用します。 これらのログファイルと現在のファイルから、プラグインは監査ログのブックマークおよび読み取り関数で使用される対象のもののリストを構築します。 セクション6.4.5.6「監査ログファイルの読取り」を参照してください。 -
システム変数 audit_log_filter_idスコープ グローバル、セッション 動的 いいえ SET_VARヒントの適用いいえ 型 Integer この変数のセッション値は、現在のセッションの監査フィルタの内部的に保持されている ID を示します。 値 0 は、セッションにフィルタが割り当てられていないことを意味します。
-
システム変数 audit_log_flushスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 Boolean デフォルト値 OFFこの変数が有効になるよう (1 または
ON) に設定されている場合、監査ログプラグインはそのログファイルを閉じてから再度開いて、フラッシュします。 (この値は、別のフラッシュを実行するために再度有効にする前に、明示的に無効にする必要がないように、OFFのままになっています。)audit_log_rotate_on_sizeが 0 である場合を除いて、この変数を有効にしても効果はありません。 詳細は、セクション6.4.5.5「監査ロギング特性の構成」を参照してください。 -
コマンド行形式 --audit-log-format=valueシステム変数 audit_log_formatスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 列挙 デフォルト値 NEW有効な値 OLDNEWJSON監査ログファイルの形式。 許可される値は、
OLD(古いスタイルの XML)、NEW(新しいスタイルの XML。デフォルト) およびJSONです。 各形式についての詳細は、セクション6.4.5.4「監査ログファイル形式」を参照してください。注記ログ形式を変更する際に考慮する問題の詳細は、監査ログファイル形式の選択 を参照してください。
-
コマンド行形式 --audit-log-include-accounts=valueシステム変数 audit_log_include_accountsスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 文字列 デフォルト値 NULL注記この変数は、レガシーモードの監査ログフィルタリングにのみ適用されます (セクション6.4.5.9「レガシーモード監査ログのフィルタリング」 を参照)。
イベントのログが記録されるアカウント。 この値には、
NULLまたはカンマで区切った 1 つ以上のアカウント名のリストを含む文字列を指定するようにしてください。 詳細は、セクション6.4.5.7「監査ログのフィルタリング」を参照してください。audit_log_include_accountsの変更は、変更後に作成された接続にのみ影響し、既存の接続には影響しません。 -
audit_log_password_history_keep_daysコマンド行形式 --audit-log-password-history-keep-days=#導入 8.0.17 システム変数 audit_log_password_history_keep_daysスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 Integer デフォルト値 0最小値 0最大値 4294967295監査ログプラグインは、MySQL 鍵リングに格納されている暗号化パスワードを使用してログファイルの暗号化を実装します (監査ログファイルの暗号化 を参照)。 このプラグインは、パスワードのアーカイブと有効期限 (削除) を含むパスワード履歴も実装します。
監査ログプラグインは、新しい暗号化パスワードを作成するときに、以前のパスワード (存在する場合) をあとで使用するためにアーカイブします。
audit_log_password_history_keep_days変数は、期限切れのアーカイブ済パスワードの自動削除を制御します。 この値は、アーカイブ監査ログの暗号化パスワードが削除されるまでの日数を示します。 デフォルトの 0 は、パスワードの有効期限を無効にします: パスワードの保存期間は永久的です。新しい監査ログ暗号化パスワードは、次の状況で作成されます:
プラグインの初期化中に、プラグインがログファイルの暗号化が有効であることを検出すると、キーリングに監査ログの暗号化パスワードが含まれているかどうかをチェックします。 そうでない場合、プラグインはランダムな初期暗号化パスワードを自動的に生成します。
特定のパスワードを設定するために
audit_log_encryption_password_set()関数がコールされた場合。
いずれの場合も、プラグインは新しいパスワードをキーリングに格納し、それを使用して新しいログファイルを暗号化します。
期限切れの監査ログ暗号化パスワードの削除は、次の状況で発生します:
パスワードの削除が発生すると、
audit_log_password_history_keep_daysの現在の値によって、削除するパスワードが決まります:値が 0 の場合、プラグインはパスワードを削除しません。
値が
N> 0 の場合、プラグインはN日より古いパスワードを削除します。
注記アーカイブされた暗号化ログファイルの読取りに必要な古いパスワードを期限切れにしないように注意してください。
通常、パスワードの有効期限を無効のままにすると (つまり、
audit_log_password_history_keep_daysの値が 0 の場合)、変数にゼロより大きい値を一時的に割り当てることで、オンデマンドクリーンアップ操作を実行できます。 たとえば、365 日より古いパスワードを期限切れにするには、次のようにします:SET GLOBAL audit_log_password_history_keep_days = 365; SET GLOBAL audit_log_password_history_keep_days = 0;audit_log_password_history_keep_daysのランタイム値を設定するには、グローバルシステム変数のランタイム値を設定するために通常必要なSYSTEM_VARIABLES_ADMIN権限 (または非推奨のSUPER権限) に加えて、AUDIT_ADMIN権限が必要です。 -
コマンド行形式 --audit-log-policy=valueシステム変数 audit_log_policyスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 列挙 デフォルト値 ALL有効な値 ALLLOGINSQUERIESNONE注記この変数は、レガシーモードの監査ログフィルタリングにのみ適用されます (セクション6.4.5.9「レガシーモード監査ログのフィルタリング」 を参照)。
監査ログプラグインがイベントをそのログファイルに書き込む方法を制御するポリシーです。 次の表は、許可される値を示しています。
値 説明 ALLイベントのログをすべて記録します LOGINSログインイベントのログのみを記録します QUERIESクエリーイベントのログのみを記録します NONEログを何も記録しません (監査ストリームを無効にします) audit_log_policyは、サーバーの起動時にのみ設定できます。 実行時は、読み取り専用の変数です。 他の 2 つのシステム変数 (audit_log_connection_policyおよびaudit_log_statement_policy) は、ロギングポリシーをより細かく制御し、起動時または実行時に設定できます。 起動時に他の 2 つの変数ではなくaudit_log_policyを使用する場合、サーバーはその値を使用してこれらの変数を設定します。 ポリシーの変数とそれらの相互作用についての詳細は、セクション6.4.5.5「監査ロギング特性の構成」を参照してください。 -
コマンド行形式 --audit-log-prune-seconds=#導入 8.0.24 システム変数 audit_log_prune_secondsスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 Integer デフォルト値 0最小値 0最大値 4294967295単位 secondsこの変数は、JSON 形式のログファイルでのみサポートされている監査ログファイルのプルーニングに関連します。
audit_log_rotate_on_sizeが 0 より大きい場合を除き、audit_log_prune_secondsは効果がありません。 true であると仮定した場合:audit_log_prune_secondsが 0 (デフォルト) の場合、プルーニングは無効になり、サイズベースのローテーションの結果として作成されたログファイルは無期限に蓄積されます。audit_log_prune_secondsが 0 より大きい場合、プルーニングは有効で、値は監査ログファイルがプルーニングの対象になるまでの秒数です。
プルーニングを有効にすると、監査ログファイルの領域管理 で説明されている条件で実行されます。
-
コマンド行形式 --audit-log-read-buffer-size=#システム変数 audit_log_read_buffer_sizeスコープ (≥ 8.0.12) グローバル、セッション スコープ (8.0.11) グローバル 動的 (≥ 8.0.12) はい 動的 (8.0.11) いいえ SET_VARヒントの適用いいえ 型 Integer デフォルト値 (≥ 8.0.12) 32768デフォルト値 (8.0.11) 1048576最小値 (≥ 8.0.12) 32768最小値 (8.0.11) 1024最大値 4194304監査ログファイルから読み取るバッファサイズ (バイト単位)。
audit_log_read()関数は、このバイト数以下を読み取ります。 ログファイルの読取りは、JSON ログ形式でのみサポートされます。 詳細は、セクション6.4.5.6「監査ログファイルの読取り」を参照してください。MySQL 8.0.12 では、この変数のデフォルトは 32KB で、実行時に設定できます。 各クライアントは、
audit_log_read()を使用するためにaudit_log_read_buffer_sizeのセッション値を適切に設定する必要があります。 MySQL 8.0.12 より前では、audit_log_read_buffer_sizeのデフォルトは 1MB で、すべてのクライアントに影響し、サーバーの起動時にのみ変更できます。 -
コマンド行形式 --audit-log-rotate-on-size=#システム変数 audit_log_rotate_on_sizeスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 Integer デフォルト値 0単位 bytesaudit_log_rotate_on_sizeが 0 の場合、監査ログプラグインはサイズベースのログファイルの自動ローテーションを実行しません。 代わりに、audit_log_flush使用して、要求に応じてログを閉じてから再度開きます。 この場合は、フラッシュする前に、ファイルの名前をサーバーの外部に手動で変更します。audit_log_rotate_on_sizeが 0 より大きい場合、サイズベースのログファイルの自動ローテーションが発生します。 ログファイルへの書き込みによってそのサイズがaudit_log_rotate_on_size値を超えるたびに、監査ログプラグインは現在のログファイルを閉じて名前を変更し、新しいログファイルを開きます。audit_log_rotate_on_sizeを 4096 の倍数でない値に設定すると、最も近い倍数に切り捨てられます。 (このため、4096 未満の値に設定すると 0 に設定され、手動以外は回転は発生しません。)MySQL 8.0.24 では、
audit_log_rotate_on_sizeは監査ログファイルのプルーニングを有効にできるかどうかも制御します:audit_log_rotate_on_sizeが無効 (0) の場合、プルーニングは有効にできず、audit_log_prune_secondsは無効になります。audit_log_rotate_on_sizeが有効になっている (0 より大きい) 場合は、プルーニングを有効にでき、audit_log_prune_secondsによってプルーニングが行われるかどうかが決定されます。
監査ログファイルのローテーションおよびプルーニングの詳細は、監査ログファイルの領域管理 を参照してください。
-
コマンド行形式 --audit-log-statement-policy=valueシステム変数 audit_log_statement_policyスコープ グローバル 動的 はい SET_VARヒントの適用いいえ 型 列挙 デフォルト値 ALL有効な値 ALLERRORSNONE注記この変数は、レガシーモードの監査ログフィルタリングにのみ適用されます (セクション6.4.5.9「レガシーモード監査ログのフィルタリング」 を参照)。
監査ログプラグインがステートメントイベントをそのログファイルに書き込む方法を制御するポリシーです。 次の表は、許可される値を示しています。
値 説明 ALLステートメントイベントのログをすべて記録します ERRORS失敗したステートメントイベントのログのみを記録します NONEステートメントイベントのログを記録しません 注記セクション6.4.5.5「監査ロギング特性の構成」で説明したように、
audit_log_policyも指定されている場合は、サーバーの起動時に、audit_log_statement_policyに明示的に指定された値がオーバーライドされる可能性があります。 -
コマンド行形式 --audit-log-strategy=valueシステム変数 audit_log_strategyスコープ グローバル 動的 いいえ SET_VARヒントの適用いいえ 型 列挙 デフォルト値 ASYNCHRONOUS有効な値 ASYNCHRONOUSPERFORMANCESEMISYNCHRONOUSSYNCHRONOUS監査ログプラグインで使用されるロギング方法。 次の戦略値を使用できます:
ASYNCHRONOUS: 非同期でログを記録します。 出力バッファ内の領域を待機します。PERFORMANCE: 非同期でログを記録します。 出力バッファに十分な領域がないリクエストを削除します。SEMISYNCHRONOUS: 同期的にログを記録します。 オペレーティングシステムによるキャッシュを許可します。SYNCHRONOUS: 同期的にログを記録します。 各リクエストの後にsync()をコールします。
監査ログプラグインが有効になっている場合は、操作情報を提供するいくつかのステータス変数が公開されます。 これらの変数は、レガシーモードの監査フィルタリングおよび JSON モードの監査フィルタリングに使用できます。
-
現在の監査ログファイルのサイズ。 この値は、イベントがログに書き込まれると増加し、ログがローテーションされると 0 にリセットされます。
-
パフォーマンスロギングモードで破棄された最大イベントのサイズ。 ロギングモードについては、セクション6.4.5.5「監査ロギング特性の構成」を参照してください。
-
フィルタリングのポリシーに基づいてログに書き込まれたかどうかに関係なく、監査ログプラグインによって処理されたイベントの数 (セクション6.4.5.5「監査ロギング特性の構成」を参照してください)。
-
フィルタリングのポリシーに基づいて、監査ログプラグインによってフィルタリングされた (ログに書き込まれなかった) イベントの数 (セクション6.4.5.5「監査ロギング特性の構成」を参照してください)。
-
イベントが使用可能な監査ログバッファー領域よりも大きかったために、パフォーマンスロギングモードで失われたイベントの数。 この値は、
audit_log_buffer_sizeを設定して、パフォーマンスモード用にバッファーのサイズを調整する方法を評価する際に役立つことがあります。 ロギングモードについては、セクション6.4.5.5「監査ロギング特性の構成」を参照してください。 -
監査ログに書き込まれたイベントの数。
-
すべての監査ログファイルに書き込まれたイベントの合計サイズ。
Audit_log_current_sizeとは異なり、Audit_log_total_sizeの値は、ログがローテーションされたときにも増加します。 -
非同期ロギングモードでイベントが監査ログバッファー内の領域を待機する必要があった回数。 ロギングモードについては、セクション6.4.5.5「監査ロギング特性の構成」を参照してください。