筆者這次的鐵人賽最後一個主題應該就是 Audit Log Parser 了。

因為筆者公司的稽核項目很多，所以大部分的專案都會買一些 SIEM 的設備 (Arcsight, 趨勢的平台...)，有的時候很好用，但是有的時候太複雜或是很慢，所以就有自己作 Audit Log Parser 的動機。

筆者對於 SQL Server 的 Audit Log (Trace File)有個自己作的 Parser，對於 MariaDB 應該也要有一樣的方式處理。

基本架構

筆者的環境除了正式機以外，還有備援機 (Slave)，原來是想在備援機上的 relayed binlog 來作處理，結果大失所望。那些從 master relayed 來的 binlog 完全不會有紀錄，這樣就不能從備援機正式機的 Audit Log 了。

筆者的 SQL Server 正式機因為怕效能損耗不會在正式機上 Parsing Trace Files，而是把資料透過網芳存到備援機，由備援機來 Parsing，那 MariaDB 可不可以這樣做呢?

答案是可以的。

在 server_audit_file_path 設定 ////remotehost//dir//audit.log 這樣就能達到遠端存資料了 (記得反斜線的數量)。

接下就是設計的問題。仍然使用好用的 Powershell 來達成目標。

架構大概是這樣

• 先前處理
  • 建立相關資料夾與環境
  • 匯入 log
  • 分析 log
  • 如有重要資料需儲存的需放到資料庫
  • 如有重要資料需要即時告警的需發送

接下來的幾篇就來介紹如何分析與處理。