MySQL通用查询日志(GENERAL LOG)详解与最佳实践

1. MySQL General Log 全面解析

作为一名数据库管理员，我经常需要排查各种SQL执行问题。在这个过程中，MySQL的general log（通用查询日志）是我最常用的工具之一。今天我就来详细分享一下这个强大但容易被忽视的功能。

General log就像MySQL的"黑匣子"，它会忠实记录所有进出MySQL服务器的SQL语句。无论是简单的SELECT查询，还是复杂的DDL变更，甚至是连接和断开操作，都会被完整记录下来。这个功能在调试复杂问题、审计SQL操作或分析异常行为时特别有用。

不过需要注意的是，general log默认是关闭状态，这是有充分理由的。开启后它会记录所有SQL语句，对性能会有一定影响（根据我的经验，性能损耗大约在5-15%之间），而且日志文件会快速增长。因此，我通常只在特定调试场景下临时开启它。

2. General Log 核心特性详解

2.1 日志记录范围与特点

General log最显著的特点是它的"全量记录"特性。不同于只记录慢查询的slow log，或者只记录数据变更的binlog，general log会记录：

• 所有DML语句（SELECT, INSERT, UPDATE, DELETE等）
• 所有DDL语句（CREATE, ALTER, DROP等）
• 所有DCL语句（GRANT, REVOKE等）
• 连接建立和断开事件
• 预处理语句和执行计划

这里有个重要细节需要注意：日志记录的是SQL语句的接收顺序，而非实际执行顺序。比如事务A和事务B几乎同时发送UPDATE语句，但由于锁竞争，实际执行顺序可能与接收顺序不同。这个特性在分析死锁问题时特别有用。

2.2 日志存储格式解析

General log支持两种存储方式，各有优缺点：

文件存储方式

• 优点：I/O性能较好，对系统资源占用较低
• 缺点：不方便直接查询和分析
• 典型日志格式：

code复制2023-08-20T14:23:45.123456Z     10 Connect   root@localhost on 
2023-08-20T14:23:47.234567Z     10 Query     SELECT * FROM users
2023-08-20T14:23:49.345678Z     10 Quit

表存储方式（mysql.general_log表）

• 优点：可直接用SQL查询和分析
• 缺点：会产生额外的表I/O开销
• 表结构：

sql复制CREATE TABLE `general_log` (
  `event_time` timestamp(6) NOT NULL DEFAULT CURRENT_TIMESTAMP(6),
  `user_host` mediumtext NOT NULL,
  `thread_id` bigint(21) unsigned NOT NULL,
  `server_id` int(10) unsigned NOT NULL,
  `command_type` varchar(64) NOT NULL,
  `argument` mediumtext NOT NULL
) ENGINE=CSV DEFAULT CHARSET=utf8 COMMENT='General log'

3. General Log 操作指南

3.1 动态配置方法（无需重启）

对于生产环境，我推荐使用动态配置方式，避免服务重启：

sql复制-- 查看当前状态
SHOW VARIABLES LIKE 'general_log%';
SHOW VARIABLES LIKE 'log_output';

-- 开启general log（立即生效）
SET GLOBAL general_log = 'ON';

-- 设置日志输出到文件
SET GLOBAL log_output = 'FILE';

-- 自定义日志文件路径（需要MySQL有写入权限）
SET GLOBAL general_log_file = '/var/log/mysql/general.log';

-- 或者输出到表
SET GLOBAL log_output = 'TABLE';

-- 也可以同时输出到文件和表
SET GLOBAL log_output = 'FILE,TABLE';

重要提示：动态设置只对新建连接有效，已有连接会继续使用之前的设置。要确保所有连接都使用新设置，可能需要断开现有连接。

3.2 配置文件设置（永久生效）

对于需要持久化的配置，可以修改my.cnf（或my.ini）：

ini复制[mysqld]
general_log = 1
general_log_file = /var/log/mysql/general.log
log_output = FILE

修改后需要重启MySQL服务：

bash复制# 对于Systemd系统
sudo systemctl restart mysqld

# 对于SysVinit系统
sudo service mysql restart

3.3 日志轮转与清理策略

由于general log会快速增长，必须制定合理的清理策略：

文件日志清理

bash复制# 先备份当前日志
cp /var/log/mysql/general.log /var/log/mysql/general.log.bak.$(date +%Y%m%d)

# 清空日志文件（比删除更安全）
echo "" > /var/log/mysql/general.log

# 或者使用logrotate配置自动轮转
/var/log/mysql/general.log {
    daily
    rotate 7
    missingok
    notifempty
    delaycompress
    sharedscripts
    postrotate
        mysql -e "FLUSH LOGS;"
    endscript
}

表日志清理

sql复制-- 创建备份
CREATE TABLE mysql.general_log_backup LIKE mysql.general_log;
INSERT INTO mysql.general_log_backup SELECT * FROM mysql.general_log;

-- 清空日志表
TRUNCATE TABLE mysql.general_log;

-- 对于大型日志表，建议分批删除
DELETE FROM mysql.general_log WHERE event_time < DATE_SUB(NOW(), INTERVAL 7 DAY) LIMIT 10000;

4. 性能影响与优化建议

4.1 性能影响实测数据

在我的压力测试环境中（MySQL 8.0，16核32GB内存），对比了开启和关闭general log的性能差异：

4.2 最佳实践建议

基于多年经验，我总结出以下使用原则：

1. 按需开启原则

   • 只在需要调试时开启，完成后立即关闭
   • 可以配合连接池设置，仅记录特定应用的SQL

2. 过滤策略

   • 对于高负载系统，考虑使用审计插件替代
   • 可以开发脚本定期分析日志后自动关闭

3. 存储优化

   • 将日志文件放在独立磁盘，避免影响数据文件I/O
   • 对于表存储方式，定期优化表结构：

     sql复制ALTER TABLE mysql.general_log ENGINE=InnoDB;
     

4. 监控方案

   sql复制-- 监控日志增长情况
   SELECT 
     table_schema, 
     table_name, 
     round(((data_length + index_length) / 1024 / 1024), 2) "Size (MB)"
   FROM information_schema.TABLES 
   WHERE table_name = 'general_log';
   

5. 高级应用场景

5.1 结合其他日志分析

General log最强大的地方在于可以与其他日志联合分析：

bash复制# 分析慢查询的来源
grep "SELECT.*WHERE" /var/log/mysql/general.log | 
  awk '{print $NF}' | 
  sort | uniq -c | sort -nr | head -20

# 结合binlog分析数据变更
mysqlbinlog /var/lib/mysql/binlog.000123 | 
  grep -A5 "UPDATE" | 
  grep -E "### UPDATE|### WHERE"

5.2 安全审计应用

虽然general log不是专门的审计工具，但可以用于基础安全分析：

sql复制-- 查找可疑连接
SELECT DISTINCT user_host FROM mysql.general_log 
WHERE user_host NOT LIKE 'root@localhost%';

-- 识别高频失败登录
SELECT argument, COUNT(*) 
FROM mysql.general_log 
WHERE command_type = 'Connect' AND argument LIKE '%Access denied%'
GROUP BY argument 
ORDER BY COUNT(*) DESC;

5.3 性能问题诊断

通过分析general log可以识别多种性能问题：

python复制# 分析查询模式（示例Python脚本）
from collections import defaultdict

query_patterns = defaultdict(int)
with open('/var/log/mysql/general.log') as f:
    for line in f:
        if 'Query' in line:
            query = line.split('Query\t')[1].strip()
            simplified = ' '.join(query.split()[:6])  # 获取前几个关键词
            query_patterns[simplified] += 1

for pattern, count in sorted(query_patterns.items(), key=lambda x: -x[1]):
    print(f"{count:6d} {pattern}")

6. 常见问题解决方案

6.1 日志文件不生成问题

问题现象：设置了general_log_file但文件未创建

排查步骤：

1. 检查MySQL错误日志
2. 确认目录存在且MySQL用户有写入权限

   bash复制sudo mkdir -p /var/log/mysql
   sudo chown mysql:mysql /var/log/mysql
   sudo chmod 750 /var/log/mysql
   

3. 检查apparmor/selinux限制

   bash复制sudo aa-status
   sudo ausearch -m avc -ts recent
   

6.2 表存储性能问题

问题现象：使用表存储后系统变慢

优化方案：

1. 修改表引擎为InnoDB

   sql复制ALTER TABLE mysql.general_log ENGINE=InnoDB;
   

2. 添加适当索引

   sql复制ALTER TABLE mysql.general_log ADD INDEX (event_time);
   

3. 考虑使用分区表

   sql复制ALTER TABLE mysql.general_log 
   PARTITION BY RANGE (TO_DAYS(event_time)) (
       PARTITION p202301 VALUES LESS THAN (TO_DAYS('2023-02-01')),
       PARTITION p202302 VALUES LESS THAN (TO_DAYS('2023-03-01')),
       PARTITION pmax VALUES LESS THAN MAXVALUE
   );
   

6.3 日志包含敏感信息

解决方案：

1. 使用过滤插件

   sql复制INSTALL PLUGIN audit_log SONAME 'audit_log.so';
   

2. 开发日志清洗脚本

   python复制import re
   
   def sanitize_sql(sql):
       sql = re.sub(r'WHERE\s+\w+\s*=\s*\'.*?\'', 'WHERE xxxx', sql)
       return re.sub(r'VALUES\s*\(.*?\)', 'VALUES (xxxx)', sql)
   

3. 设置最小权限账号用于日志访问

在实际工作中，我发现general log就像一把双刃剑 - 用得好可以快速定位各种疑难杂症，但滥用则可能导致性能问题。我的经验是：只在必要时开启，并且要提前规划好日志存储和清理策略。对于长期审计需求，建议考虑专门的审计插件或商业解决方案。