设计MySQL审计表需明确审计范围，优先针对核心业务表实施行级、操作行为及DDL变更审计。采用通用结构audit_log表，以JSON字段存储新旧值，记录操作类型、时间、操作者等关键信息，并建立索引提升查询效率。通过触发器自动捕获数据变更，结合应用层传递真实用户身份与客户端信息，实现完整审计链路。1. 审计范围聚焦核心表；2. 表结构包含table_name、record_id、operation、old_values、new_values、changed_by、changed_at；3. 触发器实现自动日志写入；4. 应用层补充用户上下文；5. 大数据量下启用分区或归档策略。

设计 MySQL 审计表的核心目标是记录关键数据的变更历史，便于追踪操作行为、排查问题和满足合规要求。以下是实用的设计思路和结构建议。

1. 明确审计范围

不是所有表都需要审计，通常只对核心业务表（如用户信息、订单、权限配置）开启审计。你可以选择以下几种审计方式：

• 行级变更审计：记录某条记录被修改前后的值
• 操作行为审计：记录谁在什么时候执行了什么操作（如登录、删除）
• DDL 变更审计：记录表结构变更（可通过触发器或外部工具实现）

2. 设计通用审计表结构

一个灵活的审计表应包含足够的上下文信息。以下是一个推荐的基础结构：

CREATE TABLE audit_log (
    id BIGINT AUTO_INCREMENT PRIMARY KEY,
    table_name VARCHAR(64) NOT NULL COMMENT '被审计的表名',
    record_id BIGINT NOT NULL COMMENT '被修改记录的主键',
    operation ENUM('INSERT', 'UPDATE', 'DELETE') NOT NULL,
    old_values JSON DEFAULT NULL COMMENT '修改前的数据（JSON格式）',
    new_values JSON DEFAULT NULL COMMENT '修改后的数据（JSON格式）',
    changed_by VARCHAR(100) DEFAULT NULL COMMENT '操作者（如用户名或IP）',
    changed_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    INDEX idx_table_record (table_name, record_id),
    INDEX idx_changed_at (changed_at),
    INDEX idx_changed_by (changed_by)
);

说明与建议：

• 使用 JSON 字段 存储新旧值，避免为每个被审计表单独建结构，提升灵活性
• 记录 操作类型 和时间，方便按动作类型过滤
• 添加索引提升查询效率，特别是按表名、记录ID、时间查询场景
• changed_by 可通过应用层传入用户名，或用触发器调用 USER()/CURRENT_USER()

3. 使用触发器自动记录变更

以 user 表为例，创建触发器将变更写入 audit_log：

DELIMITER ;;
CREATE TRIGGER user_audit_after_update 
AFTER UPDATE ON user
FOR EACH ROW 
BEGIN
    INSERT INTO audit_log (table_name, record_id, operation, old_values, new_values, changed_by)
    VALUES (
        'user', 
        NEW.id, 
        'UPDATE', 
        JSON_OBJECT('name', OLD.name, 'email', OLD.email), 
        JSON_OBJECT('name', NEW.name, 'email', NEW.email), 
        CURRENT_USER()
    );
END;;

CREATE TRIGGER user_audit_after_delete 
AFTER DELETE ON user
FOR EACH ROW 
BEGIN
    INSERT INTO audit_log (table_name, record_id, operation, old_values, changed_by)
    VALUES (
        'user', 
        OLD.id, 
        'DELETE', 
        JSON_OBJECT('name', OLD.name, 'email', OLD.email), 
        CURRENT_USER()
    );
END;;
DELIMITER ;

注意： INSERT 操作一般不记录 old_values，UPDATE 建议同时记录新旧值，DELETE 只有 old_values。

4. 配合应用层增强审计能力

数据库层触发器无法获取真实用户身份（如应用用户），建议在应用代码中补充：

• 在事务中手动插入 audit_log，把 session 用户 ID 或 token 主体写入 changed_by
• 对敏感操作（如删除账户）额外记录客户端 IP、User-Agent
• 使用 AOP 或中间件统一处理审计日志写入

基本上就这些。关键是结构清晰、数据完整、性能可控。如果数据量大，考虑定期归档 audit_log 表，或使用分区表按月分区。不复杂但容易忽略细节。