代码改变世界

MySQL如何统计/监控MySQL用户登录失败?

2025-09-15 17:13  潇湘隐者  阅读(57)  评论(0)    收藏  举报

在MySQL数据库中,如何统计/监控MySQL用户登陆失败的次数呢? 下面是我的一些探索与总结,如有不足或疏漏,欢迎指正。

错误日志监控统计

首先,要设置错误日志记录告警信息的级别,

MySQL 5.5,5.6,5.7.2之前设置系统变量log_warnings

show variables like 'log_warnings';
set global log_warnings=3;

有些MySQL版本可以将系统变量log_warnings=2.

MySQL 5.7.2 ~ 8.*设置系统变量log_error_verbosity

show variables like 'log_error_verbosity';
set global log_error_verbosity=3;

一般设置系统变量log_error_verbosity的值为3后,就能在错误日志中记录这些登录失败的相关信息/记录

 Access denied for user '****'@'***.***.***.***' (using password : NO)

具体案例如下所示

2025-08-01T08:26:58.638998+08:00 364 [Note] [MY-010926] [Server] Access denied for user 'kkk'@'localhost' (using password: YES)

对于错误日志中的登录失败的信息,最好通过脚本去监控,我这边会通过mysql_log_maint_monitor.sh脚本去监控MySQL错误日志的各种错误信息.所以一旦出现用户登录数据库失败的情况,5分钟(作业5分钟运行一次)就能收到告警.

你也可以使用下面脚本手工统计账号登录失败信息:

grep 'Access denied for user'  /data/mysql/logs/mysql_error.log | wc -l
grep 'Access denied for user'  /data/mysql/logs/mysql_error.log | grep -oE "user [^ ]+" | sort | uniq -c

或者

grep '\[MY-010926\]'  /data/mysql/logs/mysql_error.log | wc -l
grep '\[MY-010926\]'  /data/mysql/logs/mysql_error.log | grep -oE "user [^ ]+" | sort | uniq -c

Connection Control插件监控

使用Connection Control插件监控的前提是安装这个插件,如下所示

INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so';
INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';

参数是默认值,如下所示

mysql>  show variables like '%connection_control%';
+-------------------------------------------------+------------+
| Variable_name                                   | Value      |
+-------------------------------------------------+------------+
| connection_control_failed_connections_threshold | 3          |
| connection_control_max_connection_delay         | 2147483647 |
| connection_control_min_connection_delay         | 1000       |
+-------------------------------------------------+------------+
3 rows in set (0.00 sec)

mysql>

其中,

connection_control_failed_connections_threshold:触发延迟的失败尝试次数阈值,默认为 3。

connection_control_min_connection_delay:首次触发延迟时的最小延迟时间,默认1000毫秒,即 1 秒。

connection_control_max_connection_delay:最大延迟时间,默认 2147483647 毫秒。

下面创建一个账号test进行测试

mysql> select version();
+-----------+
| version() |
+-----------+
| 8.0.35    |
+-----------+
1 row in set (0.00 sec)

mysql> create user 'test'@'%' identified by random password;
+------+------+----------------------+-------------+
| user | host | generated password   | auth_factor |
+------+------+----------------------+-------------+
| test | %    | 68xX:d:6N2uU(EeKg]Sg |           1 |
+------+------+----------------------+-------------+
1 row in set (0.02 sec)

mysql>

# 授予相关权限,此处略过
.......................

找一台测试服务器,使用错误的密码尝试连接数据库,如下所示

$ time mysql -h 10.160.2.36  -u test -pk1213423
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'test'@'10.160.2.53' (using password: YES)

real    0m0.028s
user    0m0.007s
sys     0m0.007s

此时,你就能从CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS表中看到相关账号登陆失败的尝试信息,如下所示:

mysql> select * from information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;
+------------+-----------------+
| USERHOST   | FAILED_ATTEMPTS |
+------------+-----------------+
| 'test'@'%' |               1 |
+------------+-----------------+
1 row in set (0.01 sec)

但是这种方法有一个弊端,有时候只能看到哪一个账号登录失败的次数,无法判别什么时间点,来自哪一个IP,而错误日志则能获取更多信息.
如下所示:

2025-08-21T08:58:16.585600+08:00 633747 [Note] [MY-010926] [Server] Access denied for user 'test'@'10.160.2.53' (using password: YES)

从错误日志,我们能知道的信息,2025-08-21T08:58:16.585600+08:00这个时间点,10.160.2.53这个IP使用test登录数据库是被拒绝了.

审计插件

另外一件大杀器就是通过审计插件来实现, 这个是更方便、省心的方法. 这里不展开介绍,有兴趣的可以自己了解. 主要是没有太多可以说的.只需从从审计日志或记录中找到记录并告警.