MySQL 企业模块
编辑MySQL 企业模块
编辑此功能为 Beta 版,可能会发生更改。其设计和代码不如官方 GA 功能成熟,并按“原样”提供,不提供任何担保。 Beta 版功能不受官方 GA 功能的支持 SLA 约束。
这是一个用于不同类型 MySQL 日志的模块。目前主要关注来自 JSON 格式的 MySQL 企业审计插件的数据。
要配置企业审计插件以 JSON 格式输出,请按照MySQL 文档中的说明进行操作。
阅读快速入门,了解如何配置和运行模块。
兼容性
编辑此模块已针对 MySQL 企业版 5.7.x 和 8.0.x 进行过测试。
配置模块
编辑您可以通过在 modules.d/mysqlenterprise.yml
文件中指定变量设置,或者在命令行覆盖设置,来进一步细化 mysqlenterprise
模块的行为。
您必须在模块中至少启用一个文件集。默认情况下,文件集处于禁用状态。
变量设置
编辑每个文件集都有单独的变量设置,用于配置模块的行为。如果未指定变量设置,则 mysqlenterprise
模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置。
当您在命令行中指定设置时,请记住在设置前加上模块名称,例如 mysqlenterprise.audit.var.paths
而不是 audit.var.paths
。
audit
文件集设置
编辑示例配置
- module: mysqlenterprise audit: var.input: file var.paths: /home/user/mysqlauditlogs/audit.*.log
-
var.paths
- 一个基于 glob 的路径数组,用于指定查找日志文件的位置。这里还支持Go Glob 支持的所有模式。例如,您可以使用通配符从预定义的子目录级别中获取所有文件:
/path/to/log/*/*.log
。这将从/path/to/log
的子文件夹中获取所有.log
文件。它不会从/path/to/log
文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags
- 要包含在事件中的标签列表。包括
forwarded
表示事件并非源自此主机,并导致host.name
不添加到事件中。默认为[mysqlenterprise-audit]
。
MySQL 企业版 ECS 字段
编辑MySQL 企业审计字段以以下方式映射到 ECS
MySQL 企业字段 | ECS 字段 | |
---|---|---|
account.user |
server.user.name |
|
account.host |
client.domain |
|
login.os |
client.user.name |
|
login.ip |
client.ip |
|
startup_data.os_version |
host.os.full |
|
startup_data.args |
process.args |
|
connection_attributes._pid |
process.pid |
|
timestamp |
@timestamp |
字段
编辑有关模块中每个字段的说明,请参阅导出的字段部分。