MySQL日志权限控制核心是分离“写入”与“读取”:日志开启不依赖权限,但查表需SELECT权限;建议用审计账号限定访问,禁用FILE权限防文件泄露,并用performance_schema替代general_log实现细粒度、低开销审计。
开启日志本身不依赖用户权限,但读取日志内容(尤其是写入到表时)直接受 SELECT 权限限制。如果日志写入到 mysql.general_log 或 mysql.slow_log 表,普通用户默认无权查询这些表——哪怕日志已记录,SELECT * FROM mysql.general_log 会直接报错 ERROR 1142 (42000): SELECT command denied。
实操建议:
SELECT 权限: GRANT SELECT ON mysql.general_log TO 'auditor'@'%';
FILE 权限启用日志写入文件(如 general_log_file = /var/lib/mysql/general.log),否则任意有 FILE 权限的用户都可能通过 LOAD_FILE() 读取日志文件mysqld)对日志路径有写权限,且系统级权限严格限制该目录的读取范围MySQL 不支持按用户、数据库或 IP 对日志内容做行级过滤。日志是全局行为,但可通过权限间接控制“谁能看、看多少”。
关键点:
PROCESS 权限决定能否执行 SHOW PROCESSLIST,它能实时看到当前连接和正在执行的语句,效果接近轻量级访问日志,但不持久SELECT 权限到特定库的视图(如基于 performance_schema.events_statements_history 构建),比直接开放 mysql.general_log 更安全super_priv 的账号无法修改 general_log 或 slow_query_log 系统变量,因此不能随意开关日志——这是权限配合的第一道防线long_query_time 是纯性能阈值参数,不涉及权限校验,但它直接影响慢日志的条目数量和磁盘占用。权
0.1 秒,所有查询都会进慢日志,等于变相开启全量日志。
注意事项:
SYSTEM_VARIABLES_ADMIN 或 SUPER 权限的用户才能执行 SET GLOBAL long_query_time = 1.0;
0.05),但低版本只识别整数秒,设 0.1 实际等效于 0
Query_time 值受锁等待、IO 等影响,不一定反映应用层感知的延迟,别单靠它判断接口瓶颈general_log 是粗粒度、高开销的全量记录;而 performance_schema 可按账号、主机、阶段事件开启采集,且无需 FILE 或 SUPER 权限(只需 SELECT 对应表)。
典型配置步骤:
SELECT VARIABLE_VALUE FROM performance_schema.global_variables WHERE VARIABLE_NAME = 'performance_schema'; 返回 ON
UPDATE performance_schema.setup_actors SET ENABLED = 'YES' WHERE HOST = '192.168.1.%' AND USER = 'app_user';
UPDATE performance_schema.setup_instruments SET ENABLED = 'YES', TIMED = 'YES' WHERE NAME = 'statement/sql/select';
SELECT USER, HOST, SQL_TEXT FROM performance_schema.events_statements_history WHERE SQL_TEXT LIKE '%order%';
真正难的是平衡:开太多 instruments 会明显拖慢 QPS;开太少又漏关键行为。没有一劳永逸的配置,得根据业务流量和审计目标反复调。