TiDB Audit Plugin User Guide

《TiDB 审计插件用户指南》主要内容总结如下： ### 1. 概述 TiDB 审计插件用于记录 TiDB 服务器的活动，满足合规需求。插件记录以下信息： - 用户名和 IP 地址 - 执行的 SQL 查询 - 访问的数据库和表 - 环境变量变化 - DDL 操作 审计信息存储在日志文件中，供后续分析使用。 --- ### 2. 下载插件 插件可通过 TiDB 企业版下载页面获取。 --- ### 3. 部署插件 插件支持通过 TiDB Operator 或 TiUP 部署： - **TiDB Operator**: 配置 `TidbCluster CR`，指定插件路径并完成部署。 - **TiUP**: 使用 `tiup cluster push` 命令将插件推送到指定路径。 --- ### 4. 配置插件 在 TiDB 节点上配置以下参数： - `plugin.dir`: 插件的绝对路径 - `plugin.load`: 插件名称 配置完成后，使用 `tiup cluster reload` 命令重启集群。 --- ### 5. 审计事件分类 插件将事件分为三类： 1. **CONNECTION**: 连接和认证事件（如成功/失败认证）。 2. **GENERAL**: 查询相关事件（如 SQL 执行）。 3. **TABLE_ACCESS**: 表访问事件（默认不审计，需配置）。 --- ### 6. 查看插件状态 通过 MySQL 命令 `SHOW PLUGINS` 查看插件状态： - `Name`: 插件名称 - `Status`: 加载和启用状态 - `Type`: 插件类型 - `Library`: 插件文件路径 - `Version`: 插件版本 --- ### 7. 启用或禁用审计 默认启用 CONNECTION 和 GENERAL 事件审计： - 启用审计：`mysql> admin plugins enable audit;` - 禁用审计：`mysql> admin plugins disable audit;` --- ### 8. 表访问事件配置 默认情况下，TABLE_ACCESS 事件不被审计。若需启用： 1. 修改配置表 `tidb_audit_table_access`。 2. 执行 `FLUSH TIDB PLUGINS AUDIT` 命令以应用更改。 --- ### 9. 升级插件 升级步骤： 1. 删除旧插件：`tiup cluster exec` 命令删除旧插件文件。 2. 上传新插件：使用 `tiup cluster push` 命令上传新版本。 3. 重启集群：`tiup cluster start`。 --- ### 10. 清理审计日志 TiUP 不自动清理审计日志。若需清理： - 使用 `tiup cluster clean --audit-log` 命令。 - 注意：此操作不可逆，清理前需备份数据。 --- ### 11. 注意事项 - 部署插件时需指定节点，避免使用包含 `-` 的域名。 - 升级或扩展集群时，需确保插件文件上传完成后再完成操作。 - 配置 `plugin.dir` 和 `plugin.load` 前，请确保路径正确。 --- 总结：TiDB 审计插件通过记录用户活动、SQL 查询和表操作，帮助实现合规审计。插件支持灵活部署、配置和扩展，适用于需要高透明度和安全性的场景。