我们使用的 mariadb, 用的这个审计工具 https://mariadb.com/kb/en/library/mariadb-audit-plugin/

这个工具一点都不考虑后期对数据的处理, 因为他的日志是这样的

20180727 11:40:17,aaa-main-mariadb-bjc-001,user,10.1.111.11,3125928,6493942844,QUERY,account,'select

    id, company_id, user_id, department, title, role, create_time, update_time, status,

    is_del, receive_email, contact

    from company

     WHERE (  user_id = 101

                  and is_del = 0 )',0  

所以需要上 logstash 格式化一下

input {

  file {

    path => ["/data/logs/mariadb/server_audit.log"]

    start_position => "end"

    codec => multiline {

      charset => "ISO-8859-1"

      pattern => "^[0-9]{8}"

      negate => true

      what => "previous"

    }

  }

}

filter {

    if "quartz" in [message] { drop {} }

    mutate {

        gsub => [

            "message", "\s", " ",

            "message", "\s+", " "

        ]

    }

    dissect {

        mapping => {

            "message" => "%{ts} %{+ts},%{hostname},%{user},%{dbhost},%{connid},%{queryid},%{operate},%{db},%{object}"

        }

    }

    mutate {

        replace => { "message" => "%{ts}    %{hostname}    %{user}    %{dbhost}    %{operate}    %{db}    %{object}" }

    }

}

output {

    file {

        path => "/data/logs/mariadb/%{host}_%{+YYYY-MM-dd_HH}.gz"

        gzip => true

        codec => line { format => "%{message}" }

    }

}

注意 !!!

replace 那个地方各个字段之间我用的 tab 隔开的, 如果用 vim 一定不能写\t, 这在hive中不识别的, 要在 vim 中先按 ctrl+v, 再按 tab

在 vim 中 set list 如下显示才对

mariadb 的审计日志不能按小时切割,上面 logstash 我把日志按小时生成 gz 文件了,后面就是推到 hdfs 中了, 期间试了各种方法

logstash的 output [webhdfs] 效率不行还丢数据

syslog-ng

rsyslog

统统不好用,最终直接使用 hdfs cli简直完美

我把 logstash 的配置和推送到 hdfs 的命令都打到 rpm 里,下面贴一下 rpm SPEC 文件 也记录一下吧

Name:           logstash

Version:        1.0.

Release:        %{?dist}

Summary:        specialize to mysql audit log collection

License:        GPL

AutoReqProv:    no

%define __os_install_post %{nil}

%description

%prep

%build

%install

rm -rf $RPM_BUILD_ROOT

mkdir -p %{buildroot}/{apps,etc,usr,var/lib/logstash,var/log/logstash}

cp -r %{_builddir}/etc/* %{buildroot}/etc/

cp -r %{_builddir}/usr/* %{buildroot}/usr/

cp -r %{_builddir}/apps/* %{buildroot}/apps/

%post

chown -R root:root /usr/share/logstash

chown -R root /var/log/logstash

chown -R root:root /var/lib/logstash

chown -R root:root /apps/hadoop-2.6.0

/usr/share/logstash/bin/system-install /etc/logstash/startup.options

cat >> /etc/hosts <<EOF

# for logstash push msyql audit to HDFS

这里填上 hdfs namenode和 datanode 的 hosts

EOF

echo "$(shuf -i 3-15 -n 1) * * * *" 'source /etc/profile;/apps/hadoop-2.6.0/bin/hdfs dfs -copyFromLocal /data/logs/mariadb/${HOSTNAME}_$(date -u +"\%Y-\%m-\%d_\%H" -d "last hour").gz hdfs://active_namenode/mysql_audit/$(date -u +"\%Y-\%m-\%d")/ && rm -f /data/logs/mariadb/${HOSTNAME}_$(date -u +"\%Y-\%m-\%d_\%H" -d "last hour").gz' >> /var/spool/cron/root

initctl start logstash

%files

%defattr(-,root,root)

/apps/hadoop-2.6.0

/etc/logstash

/usr/share/logstash

/var/lib/logstash

/var/log/logstash

%preun

if [ $1 -eq 0 ]; then

  # Upstart

  if [ -r "/etc/init/logstash.conf" ]; then

    if [ -f "/sbin/stop" ]; then

      /sbin/stop logstash >/dev/null 2>&1 || true

    else

      /sbin/service logstash stop >/dev/null 2>&1 || true

    fi

    if [ -f "/etc/init/logstash.conf" ]; then

      rm /etc/init/logstash.conf

    fi

  # SYSV

  elif [ -r "/etc/init.d/logstash" ]; then

    /sbin/chkconfig --del logstash

    if [ -f "/etc/init.d/logstash" ]; then

      rm /etc/init.d/logstash

    fi

  # systemd

  else

    systemctl stop logstash >/dev/null 2>&1 || true

    if [ -f "/etc/systemd/system/logstash-prestart.sh" ]; then

      rm /etc/systemd/system/logstash-prestart.sh

    fi

    if [ -f "/etc/systemd/system/logstash.service" ]; then

      rm /etc/systemd/system/logstash.service

    fi

  fi

  if getent passwd logstash >/dev/null ; then

    userdel logstash

  fi

  if getent group logstash > /dev/null ; then

    groupdel logstash

  fi

fi

%postun

%clean

rm -rf $RPM_BUILD_ROOT

我把 hadoop 的程序也放进去了,方便

安装完 rpm 自动启动 logstash   省劲

现在日志已经按天写到 hdfs 中,下面再导入 hive 中

先创建 hive 表

create table mysql_audit(datetime string,hostname string,username string,dbhost string,operation string,db string,object string) partitioned by (dt int,hour smallint,module string) row format delimited fields terminated by '\t';

分了3个 partition

load hdfs to hive

#!/bin/bash

# Description: load hdfs mysql audit gz to hive

# Author     : quke

# Date       : --

source /root/.bash_profile

cur_date=$(date -u +"%Y-%m-%d" -d "last hour")

cur_date_short=$(date -u +"%Y%m%d" -d "last hour")

cur_hour=$(date -u +"%H" -d "last hour")

for fn in $(hdfs dfs -ls /mysql_audit/${cur_date}/*_${cur_hour}.gz|awk '{print $NF}');do

    host_name=$(echo $fn|awk -F [/_] '{print $(NF-2)}')

    module=${host_name%-bjc*}

    echo "load data inpath 'hdfs://ossmondb${fn}' into table mysql_audit partition(dt=${cur_date_short},hour=${cur_hour},module='${module}');" >> hive.sql

done

hive -f hive.sql && rm -f hive.sql

有任何疑问欢迎交流

mariadb审计日志通过 logstash导入 hive的更多相关文章

  1. 使用mapreduce清洗简单日志文件并导入hive数据库

    Result文件数据说明: Ip:106.39.41.166,(城市) Date:10/Nov/2016:00:01:02 +0800,(日期) Day:10,(天数) Traffic: 54 ,(流 ...

  2. MariaDB开启日志审计功能

    对于MySQL.Percona.MariaDB三家都有自己的审计插件,但是MySQL的审计插件是只有企业版才有的,同时也有很多第三方的的MySQL的审计插件,而Percona和MariaDB都是GPL ...

  3. [hadoop读书笔记] 第十五章 sqoop1.4.6小实验 - 将mysq数据导入hive

    安装hive 1.下载hive-2.1.1(搭配hadoop版本为2.7.3) 2.解压到文件夹下 /wdcloud/app/hive-2.1.1 3.配置环境变量 4.在mysql上创建元数据库hi ...

  4. hive-hbase-handler方式导入hive表数据到hbase表中

    Hive与HBase的整合功能的实现是利用两者本身对外的API接口互相进行通信,相互通信主要是依靠hive-hbase-handler.jar工具类 : hive-hbase-handler.jar在 ...

  5. 数据清洗:按照进行数据清洗,并将清洗后的数据导入hive数据库中。

    虚拟机: hadoop:3.2.0 hive:3.1.2 win10: eclipse 两阶段数据清洗: (1)第一阶段:把需要的信息从原始日志中提取出来 ip:    199.30.25.88 ti ...

  6. Atlas2.2.0编译、安装及使用(集成ElasticSearch,导入Hive数据)

    1.编译阶段 组件信息: 组件名称 版本 Atals 2.2.0 HBase 2.2.6 Hive 3.1.2 Hadoop 3.1.1 Kafka 2.11_2.4.1 Zookeeper 3.6. ...

  7. Logstash:使用 Logstash 导入 CSV 文件示例

    转载自:https://elasticstack.blog.csdn.net/article/details/114374804 在今天的文章中,我将展示如何使用 file input 结合 mult ...

  8. ABP(现代ASP.NET样板开发框架)系列之19、ABP应用层——审计日志

    点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之19.ABP应用层——审计日志 ABP是“ASP.NET Boilerplate Project (ASP.NET ...

  9. ABP文档 - 审计日志

    文档目录 本节内容: 简介 关于 IAuditingStore 配置 通过特性启用/禁用 注意 简介 维基百科:“一个审计追踪(也叫审计日志)是一个安全相关的时序记录.记录组.和/或记录源和目标,作为 ...

随机推荐

  1. VisulaVM 性能:分析 JVM 性能的免费工具

    VisualVM是一个集成多个JDK命令行工具的可视化工具.可以作为Java应用程序性能分析和运行监控的工具.开发人员可以利用它来监控.分 析线程信息,浏览内存堆数据.系统管理员可以利用它来监测.控制 ...

  2. Laravel中用GuzzleHttp

    阅读数:14715 今天项目中用到GuzzleHttp,开始不知道怎么用,其实还是很简单的. 直接在项目根目录,输入以下命令 composer require guzzlehttp/guzzle 1 ...

  3. [Eclipse]Eclipse里对XML进行注释的快捷键

    eclipse中编辑java或C/C++文件时,注释的快捷键均为 "CTRL + / ",编辑xml文件时,该快捷键无效. eclipse 针对 XML 注释:CTRL + SHI ...

  4. Python3 urllib库和requests库

    1. Python3 使用urllib库请求网络 1.1 基于urllib库的GET请求 请求百度首页www.baidu.com ,不添加请求头信息: import urllib.requests d ...

  5. 1.spring环境的搭建

    1.app.config <?xml version="1.0" encoding="utf-8" ?><configuration> ...

  6. Android无线调试(转)

    Android无线调试——抛开USB数据线 开发Android的朋友都知道,真机调试需要把手机与PC相连,然后把应用部署到真机上进行安装和调试.长长的USB线显得很麻烦,而且如果需要USB接口与其他设 ...

  7. pyspider示例代码四:搜索引擎爬取

    搜索引擎爬取 #!/usr/bin/env python # -*- encoding: utf- -*- # Created on -- :: # Project: __git_lab_fix fr ...

  8. 删除重复的feature vba VS 删除重复的feature python

    VBA: Sub deleteDuplicatedFeature() Dim app As IApplication Set app = Application Dim pMxDocument As ...

  9. android java层实现hook替换method

    Android上的热修复框架 AndFix 大家都很熟悉了,它的原理实际上很简单: 方法替换——Java层的每一个方法在虚拟机实现里面都对应着一个ArtMethod的结构体,只要把原方法的结构体内容替 ...

  10. Java程序性能定位工具-火焰图

    Java程序性能定位工具-火焰图 前言 Java火焰图是一种新的查看CPU利用率方式.今天就带大家一起使用来自Google大神的工具来生成火焰图.火焰图非常的直观,问题一目了然,希望有一天它能成为JA ...