审核日志插件支持使用 SQL 接口来读取 JSON 格式的审核日志文件。（对其他格式的日志文件不适用。）

当审核日志插件初始化并配置为 JSON 日志时，它将使用当前审核日志文件所在目录作为查找可读审核日志文件的位置。插件从audit_log_file系统变量中获取文件路径、基本名称和后缀，然后寻找名为以下模式的文件，其中[...]表示可选文件名部分：

basename[.timestamp].suffix[.gz][[.pwd_id].enc]

如果文件名以.enc结尾，文件加密，读取未加密内容需要从密钥ring获取解密密码。审核日志插件确定解密密码的密钥ring ID 如下：

关于加密审核日志文件的更多信息，请参见加密审核日志文件。

插件忽略了手动重命名的文件和无法从密钥ring中获取密码加密的文件。插件打开每个候选文件，验证该文件实际包含JSON审核事件，然后使用每个文件中的时间戳对文件进行排序。结果是一个可以使用日志读取函数访问的文件序列：

audit_log_read()可选地接受一个JSON字符串参数，成功调用任意函数返回的结果是一个JSON字符串。

使用读取审核日志函数时，请遵循以下原则：

要将位置传递给audit_log_read(),请包括一个指明开始读取的参数。例如，传入一个书签，这是一个JSON对象，其中包含唯一标识某个事件的timestamp和id元素。下面是一个通过调用audit_log_read_bookmark()函数获得的书签示例：

mysql> SELECT audit_log_read_bookmark();
+-------------------------------------------------+
| audit_log_read_bookmark()                       |
+-------------------------------------------------+
| { "timestamp": "2020-05-18 21:03:44", "id": 0 } |
+-------------------------------------------------+

将当前书签传递给audit_log_read()，从书签位置开始读取事件：

mysql> SELECT audit_log_read(audit_log_read_bookmark());
+-----------------------------------------------------------------------+
| audit_log_read(audit_log_read_bookmark())                             |
+-----------------------------------------------------------------------+
| [ {"timestamp":"2020-05-18 22:41:24","id":0,"class":"connection", ... |
+-----------------------------------------------------------------------+

对audit_log_read()函数的参数是可选的。如果存在，可以是一个关闭读取序列的JSONnull值，或者一个JSON对象。

在audit_log_read()的哈希参数中，项目是可选项，控制读取操作的方面，如开始读取位置或要读取的事件数量。以下项目是有意义的（其他项目将被忽略）：

要指定audit_log_read()的开始位置，传递一个哈希参数，其中包括了start项目或由timestamp和id项目组成的书签。如果哈希参数包括了start项目和书签，错误将发生。

如果哈希参数不指定起始位置，继续从当前位置读取。

如果时间戳值不包含时间部分，假设时间部分为00:00:00。

接受audit_log_read()函数的示例参数：

从JSON字符串返回的结果可以根据需要进行操作。假设某个调用获取书签的函数返回该值：

mysql> SET @mark := audit_log_read_bookmark();
mysql> SELECT @mark;
+-------------------------------------------------+
| @mark                                           |
+-------------------------------------------------+
| { "timestamp": "2020-05-18 16:10:28", "id": 2 } |
+-------------------------------------------------+

使用该参数调用audit_log_read()函数，可以返回多个事件。要限制audit_log_read()至最多读取N个事件，需要将字符串添加一个max_array_length项，例如要读取单个事件，可以将字符串修改为：

mysql> SET @mark := JSON_SET(@mark, '$.max_array_length', 1);
mysql> SELECT @mark;
+----------------------------------------------------------------------+
| @mark                                                                |
+----------------------------------------------------------------------+
| {"id": 2, "timestamp": "2020-05-18 16:10:28", "max_array_length": 1} |
+----------------------------------------------------------------------+

将该字符串传递给audit_log_read()，结果最多包含一个事件，无论有多少可用。

如果在mysql 客户端中调用审核日志函数，二进制字符串结果将使用十六进制表示，取决于--binary-as-hex 的值。关于该选项的更多信息，请参见第6.5.1节，“mysql — MySQL 命令行客户端”。

要设置audit_log_read() 读取的字节数限制，可以设置audit_log_read_buffer_size 系统变量。该变量的默认值为32KB，可以在运行时设置。每个客户端都应该根据自己的使用情况设置audit_log_read_buffer_size 会话值。

对audit_log_read() 的每次调用返回可用事件的数量，直到缓冲区大小为止。不能在缓冲区大小内的事件将被跳过并生成警告。考虑以下因素来评估应用程序的合适缓冲区大小：

关于审核日志读取函数的详细信息，请参见审核日志函数。