mysql如何记录用户登录审计_配置插件追踪IP与时间

MySQL 8.0.19+ 启用 audit_log 插件需安装插件、配置 audit_log=FORCE_PLUS_PERMANENT、audit_log_format=JSON、audit_log_policy=LOGINS（或 ALL），注意其不记录 Unix socket 登录，且密码错误等认证失败细节需结合错误日志分析。mysql 8.0+ 如何启用 audit_log 插件记录登录行为MySQL 自带的 audit_log 插件能捕获连接、断开、查询等事件，但默认不开启，且登录审计需显式配置才能记录 IP 和时间。它不是靠 general_log 或 slow_query_log 替代的——那俩不记录认证结果（比如密码错、用户不存在），也压根不记客户端 IP 的归属细节。实操建议：确认 MySQL 版本 ≥ 8.0.19（早期 8.0 版本插件名是 server_audit，行为和参数都不同，容易配错）检查插件是否已安装：SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE '%audit%';若未安装，用 INSTALL PLUGIN audit_log SONAME 'audit_log.so';（Linux）或 'audit_log.dll'（Windows）加载必须在 my.cnf 中设置 audit_log=FORCE_PLUS_PERMANENT，否则服务重启后插件会自动卸载audit_log_format=JSON 为什么比 NEWLINE 更适合抓登录 IP 和时间audit_log_format 控制日志结构。NEWLINE 是纯文本，字段顺序固定但无标识，解析困难；JSON 每条记录自带 "record"："connect"、"ip"、"timestamp" 等明确字段，方便 grep、logstash 或脚本提取真实登录尝试（含失败）。实操建议：在 my.cnf 的 [mysqld] 段落添加：audit_log_format=JSON不要设为 OLD 或留空，默认值是 NEWLINE，IP 字段藏在第 4 列，但失败登录（如用户不存在）可能不写 IP，而 JSON 格式下只要 TCP 连接建立，"ip" 就一定存在日志路径由 audit_log_file 指定，默认 audit.log，确保 MySQL 进程有写权限，否则插件静默失效audit_log_policy=ALL 能否捕获 root@localhost 登录不能直接捕获 root@localhost 的 Unix socket 登录——因为这类连接不走 TCP/IP，audit_log 默认只记录网络连接事件。即使设了 audit_log_policy=ALL，socket 连接仍不会出现在日志里，这是设计限制，不是配置遗漏。 Trenz AI驱动的社交电商营销平台，专为TikTok Shop设计