MySQL 8.0.19 启用 audit_log 插件需安装插件、配置 audit_logFORCE_PLUS_PERMANENT、audit_log_formatJSON、audit_log_policyLOGINS或 ALL注意其不记录 Unix socket 登录且密码错误等认证失败细节需结合错误日志分析。mysql 8.0 如何启用 audit_log 插件记录登录行为MySQL 自带的 audit_log 插件能捕获连接、断开、查询等事件但默认不开启且登录审计需显式配置才能记录 IP 和时间。它不是靠 general_log 或 slow_query_log 替代的——那俩不记录认证结果比如密码错、用户不存在也压根不记客户端 IP 的归属细节。实操建议确认 MySQL 版本 ≥ 8.0.19早期 8.0 版本插件名是 server_audit行为和参数都不同容易配错检查插件是否已安装SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE %audit%;若未安装用 INSTALL PLUGIN audit_log SONAME audit_log.so;Linux或 audit_log.dllWindows加载必须在 my.cnf 中设置 audit_logFORCE_PLUS_PERMANENT否则服务重启后插件会自动卸载audit_log_formatJSON 为什么比 NEWLINE 更适合抓登录 IP 和时间audit_log_format 控制日志结构。NEWLINE 是纯文本字段顺序固定但无标识解析困难JSON 每条记录自带 recordconnect、ip、timestamp 等明确字段方便 grep、logstash 或脚本提取真实登录尝试含失败。实操建议在 my.cnf 的 [mysqld] 段落添加audit_log_formatJSON不要设为 OLD 或留空默认值是 NEWLINEIP 字段藏在第 4 列但失败登录如用户不存在可能不写 IP而 JSON 格式下只要 TCP 连接建立ip 就一定存在日志路径由 audit_log_file 指定默认 audit.log确保 MySQL 进程有写权限否则插件静默失效audit_log_policyALL 能否捕获 rootlocalhost 登录不能直接捕获 rootlocalhost 的 Unix socket 登录——因为这类连接不走 TCP/IPaudit_log 默认只记录网络连接事件。即使设了 audit_log_policyALLsocket 连接仍不会出现在日志里这是设计限制不是配置遗漏。 Trenz AI驱动的社交电商营销平台专为TikTok Shop设计