PDF (US Ltr)
- 26.8Mb
PDF (A4)
- 26.9Mb
HTML Download (TGZ)
- 7.1Mb
HTML Download (Zip)
- 7.2Mb
このセクションでは、監査ログプラグインの操作を制御するコマンドオプションおよびシステム変数について説明します。起動時に指定された値が正しくない場合は、プラグインが正常に初期化できない可能性があり、サーバーでロードされません。この場合、サーバーでその他の監査ログ設定が認識されないため、それに関するエラーメッセージが生成される可能性もあります。
audit_log プラグインのアクティブ化を制御するには、次のオプションを使用します。
-
Property Value コマンド行形式 --audit-log[=value]導入 5.6.10 型 列挙 デフォルト ON有効な値 ONOFFFORCEFORCE_PLUS_PERMANENTこのオプションは、サーバーの起動時に
audit_logプラグインをロードする方法を制御します。これは、監査ログプラグインが事前にINSTALL PLUGINに登録されている場合や、--plugin-loadを使用してロードされている場合にのみ指定可能です。セクション6.3.12.1「監査ログプラグインのインストール」を参照してください。セクション5.1.8.1「プラグインのインストールおよびアンインストール」で説明したように、オプションの値は、プラグインのロードオプションに指定可能な値のいずれかである必要があります。たとえば、
--audit-log=FORCE_PLUS_PERMANENTは、プラグインをロードし、それがサーバーの実行時に削除されることを回避するようにサーバーに指示します。このオプションは MySQL 5.6.10 で追加されました。
audit_log プラグインがインストールされている場合は、ロギングに対する制御を許可する複数のシステム変数が表示されます。これらの変数は、audit_log プラグインが有効になっている場合にのみ指定可能です。
mysql> SHOW VARIABLES LIKE 'audit_log%';
+-----------------------------+--------------+
| Variable_name | Value |
+-----------------------------+--------------+
| audit_log_buffer_size | 1048576 |
| audit_log_connection_policy | ALL |
| audit_log_current_session | ON |
| audit_log_exclude_accounts | |
| audit_log_file | audit.log |
| audit_log_flush | OFF |
| audit_log_format | OLD |
| audit_log_include_accounts | |
| audit_log_policy | ALL |
| audit_log_rotate_on_size | 0 |
| audit_log_statement_policy | ALL |
| audit_log_strategy | ASYNCHRONOUS |
+-----------------------------+--------------+これらの変数のいずれも、サーバーの起動時 (一部は実行時) に設定できます。
-
Property Value コマンド行形式 --audit-log-buffer-size=value導入 5.6.10 システム変数 audit_log_buffer_sizeスコープ グローバル 動的 いいえ 型 数値 デフォルト 1048576最小値 4096最大値 (64 ビットプラットフォーム) 18446744073709547520最大値 (32 ビットプラットフォーム) 4294967295監査ログプラグインが非同期的にイベントをログに書き込むと、イベントの内容を書き込む前に、バッファーを使用してそれらを格納します。この変数は、そのバッファーのサイズ (バイト単位) を制御します。サーバーは、この値を 4096 の倍数に調整します。このプラグインでは、初期化時に割り当てられ、終了時に削除される単一のバッファーが使用されます。このプラグインは、ロギングが非同期の場合にのみ、このバッファーを割り当てます。
この変数は MySQL 5.6.10 で追加されました。
-
Property Value コマンド行形式 --audit-log-connection-policy=value導入 5.6.20 システム変数 audit_log_connection_policyスコープ グローバル 動的 はい 型 列挙 デフォルト ALL有効な値 ALLERRORSNONE監査ログプラグインが接続イベントをそのログファイルに書き込む方法を制御するポリシーです。次の表は、許可される値を示しています。
値 説明 ALL接続イベントのログをすべて記録します ERRORS失敗した接続イベントのログのみを記録します NONE接続イベントのログを記録しません 注記セクション6.3.12.4「監査ログプラグインのロギング制御」で説明したように、
audit_log_policyも指定されている場合は、サーバーの起動時に、audit_log_connection_policyに明示的に指定された値がオーバーライドされる可能性があります。この変数は、MySQL 5.6.20 で追加されました。
-
Property Value 導入 5.6.20 システム変数 audit_log_current_sessionスコープ グローバル、セッション 動的 いいえ 型 ブール デフォルト depends on filtering policy現在のセッションで監査ロギングが有効になっているかどうかを示します。この変数のセッションの値は、読み取り専用です。セッションの開始時に、
audit_log_include_accountsおよびaudit_log_exclude_accountsシステム変数の値に基づいて設定されます。監査ログプラグインはこのセッション値を使用して、そのセッションでイベントを監査するかどうかを決定します。(グローバル値もありますが、このプラグインでは使用されません。)この変数は、MySQL 5.6.20 で追加されました。
-
Property Value コマンド行形式 --audit-log-exclude-accounts=value導入 5.6.20 システム変数 audit_log_exclude_accountsスコープ グローバル 動的 はい 型 文字列 デフォルト NULLイベントのログが記録されないアカウント。この値には、
NULLまたはカンマで区切った 1 つ以上のアカウント名のリストを含む文字列を指定するようにしてください。詳細については、セクション6.3.12.4「監査ログプラグインのロギング制御」を参照してください。この変数は、MySQL 5.6.20 で追加されました。
-
Property Value コマンド行形式 --audit-log-file=file_name導入 5.6.10 システム変数 audit_log_fileスコープ グローバル 動的 いいえ 型 ファイル名 デフォルト audit.log監査ログプラグインがイベントを書き込むファイルの名前。デフォルト値は
audit.logです。ファイル名が相対パスの場合、サーバーはデータディレクトリに相対的なパスであると解釈します。セキュリティー上の理由から、監査ログファイルは、MySQL サーバーおよびログを表示する正当な理由を持つユーザーにのみアクセス可能なディレクトリに書き込まれるべきです。この変数は MySQL 5.6.10 で追加されました。
-
Property Value 導入 5.6.10 システム変数 audit_log_flushスコープ グローバル 動的 はい 型 ブール デフォルト OFFこの変数が有効になるよう (1 または
ON) に設定されている場合、監査ログプラグインはそのログファイルを閉じてから再度開いて、フラッシュします。(この値は、別のフラッシュを実行するために再度有効にする前に、明示的に無効にする必要がないように、OFFのままになっています。)audit_log_rotate_on_sizeが 0 である場合を除いて、この変数を有効にしても効果はありません。この変数は MySQL 5.6.10 で追加されました。
-
Property Value コマンド行形式 --audit-log-format=value導入 5.6.14 システム変数 audit_log_formatスコープ グローバル 動的 いいえ 型 列挙 デフォルト OLD有効な値 OLDNEW監査ログファイルの形式。許可されている値は、
OLDおよびNEW(デフォルトはOLD) です。各形式についての詳細は、セクション6.3.12.3「監査ログファイル」を参照してください。audit_log_formatの値を変更する場合は、次の手順を使用して、ある形式のログエントリが別の形式のエントリを含む既存のログファイルに書き込まれることを回避します。サーバーを停止します。
現在の監査ログファイルの名前を手動で変更します。
新しい
audit_log_formatの値でサーバーを再起動します。監査ログプラグインによって、選択した形式のログエントリを含む新しいログファイルが作成されます。
この変数は、MySQL 5.6.14 で追加されました。
-
Property Value コマンド行形式 --audit-log-include-accounts=value導入 5.6.20 システム変数 audit_log_include_accountsスコープ グローバル 動的 はい 型 文字列 デフォルト NULLイベントのログが記録されるアカウント。この値には、
NULLまたはカンマで区切った 1 つ以上のアカウント名のリストを含む文字列を指定するようにしてください。詳細については、セクション6.3.12.4「監査ログプラグインのロギング制御」を参照してください。この変数は、MySQL 5.6.20 で追加されました。
-
Property Value コマンド行形式 --audit-log-policy=value導入 5.6.10 システム変数 audit_log_policyスコープ グローバル 動的 (>= 5.6.20) いいえ 動的 (<= 5.6.19) はい 型 列挙 デフォルト ALL有効な値 ALLLOGINSQUERIESNONE監査ログプラグインがイベントをそのログファイルに書き込む方法を制御するポリシーです。次の表は、許可される値を示しています。
値 説明 ALLイベントのログをすべて記録します LOGINSログインイベントのログのみを記録します QUERIESクエリーイベントのログのみを記録します NONEログを何も記録しません (監査ストリームを無効にします) MySQL 5.6.20 の時点で、
audit_log_policyはサーバーの起動時にしか設定できません。実行時は、読み取り専用の変数です。これは、より詳細にロギングポリシーを制御し、起動時または実行時に設定できるその他の 2 つのシステム変数 (audit_log_connection_policyとaudit_log_statement_policy) が導入されたためです。その他の 2 つの変数の代わりに、起動時にaudit_log_policyを使用し続けると、サーバーはその値を使用して、これらの変数を設定します。ポリシーの変数とそれらの相互作用についての詳細は、セクション6.3.12.4「監査ログプラグインのロギング制御」を参照してください。MySQL 5.6.20 よりも前では、
audit_log_connection_policyおよびaudit_log_statement_policyシステム変数が存在しません。audit_log_policyは、唯一のポリシー制御の変数であり、サーバーの起動時または実行時に設定できます。この変数は MySQL 5.6.10 で追加されました。
-
Property Value コマンド行形式 --audit-log-rotate-on-size=N導入 5.6.10 システム変数 audit_log_rotate_on_sizeスコープ グローバル 動的 はい 型 数値 デフォルト 0audit_log_rotate_on_size値を 0 よりも大きくした場合は、ファイルへの書き込みによってそのサイズがこの値を超えると、監査ログプラグインはそのログファイルを閉じてから再度開きます。元のファイル名は、タイムスタンプ拡張子が含まれるように変更されます。audit_log_rotate_on_size値が 0 の場合、プラグインはサイズに基づいて、そのログを閉じてから再度開きません。代わりに、audit_log_flush使用して、要求に応じてログを閉じてから再度開きます。この場合、ファイルをフラッシュする前に、サーバーの外部でファイル名を変更します。監査ログファイルのローテーションおよびタイムスタンプの解釈についての詳細は、セクション6.3.12.4「監査ログプラグインのロギング制御」を参照してください。
この変数を 4096 の倍数でない値に設定すると、もっとも近い倍数に切り捨てられます。(したがって、4096 未満の値に設定すると、0 (ゼロ) に設定した結果となり、ローテーションは発生しません。)
この変数は MySQL 5.6.10 で追加されました。
-
Property Value コマンド行形式 --audit-log-statement-policy=value導入 5.6.20 システム変数 audit_log_statement_policyスコープ グローバル 動的 はい 型 列挙 デフォルト ALL有効な値 ALLERRORSNONE監査ログプラグインがステートメントイベントをそのログファイルに書き込む方法を制御するポリシーです。次の表は、許可される値を示しています。
値 説明 ALLステートメントイベントのログをすべて記録します ERRORS失敗したステートメントイベントのログのみを記録します NONEステートメントイベントのログを記録しません 注記セクション6.3.12.4「監査ログプラグインのロギング制御」で説明したように、
audit_log_policyも指定されている場合は、サーバーの起動時に、audit_log_statement_policyに明示的に指定された値がオーバーライドされる可能性があります。この変数は、MySQL 5.6.20 で追加されました。
-
Property Value コマンド行形式 --audit-log-strategy=value導入 5.6.10 システム変数 audit_log_strategyスコープ グローバル 動的 いいえ 型 列挙 デフォルト ASYNCHRONOUS有効な値 ASYNCHRONOUSPERFORMANCESEMISYNCHRONOUSSYNCHRONOUS監査ログプラグインで使用されるロギング方法。次の表では、許可されている値について説明します。
表 6.18 監査ログの戦略
値 意味 ASYNCHRONOUS非同期的にログを記録し、出力バッファー内の領域を待機します PERFORMANCE非同期的にログを記録し、出力バッファー内の領域が十分でない場合はリクエストを破棄します SEMISYNCHRONOUS同期的にログを記録し、オペレーティングシステムによるキャッシュ処理を許可します SYNCHRONOUS同期的にログを記録し、各リクエスト後に sync()を呼び出しますこの変数は MySQL 5.6.10 で追加されました。