Nightingale监控工具中Categraf采集MySQL多实例的授权问题排查

问题背景

在使用Nightingale监控系统的数据采集组件Categraf（版本0.4.3）监控MySQL多实例时，遇到了连接被拒绝的问题。具体表现为Categraf服务启动时提示"Access denied for user"错误，但使用相同账号密码通过命令行却能正常登录MySQL。

问题现象

Categraf日志中显示如下错误信息：

[mysql] failed to connect to 127.0.0.1:3306: Error 1045: Access denied for user 'categraf'@'localhost' (using password: YES)

然而，通过命令行使用相同凭据可以正常连接：

mysql -u categraf -p -h 127.0.0.1 -P 3306

配置检查

检查mysql.toml配置文件，确认实例配置正确：

[[instances]]
address = "127.0.0.1:3306"
username = "categraf"
password = "复杂密码包含特殊字符"

权限验证

确认MySQL用户授权足够：

GRANT USAGE,PROCESS,REPLICATION CLIENT ON *.* TO 'categraf'@'127.0.0.1';
GRANT SELECT ON performance_schema.* TO 'categraf'@'127.0.0.1';

根本原因分析

经过深入排查，发现问题根源在于MySQL账号密码中包含特殊字符。Categraf在连接MySQL时，对密码中的特殊字符处理方式与MySQL命令行客户端不同，导致认证失败。

解决方案

1. 修改MySQL用户密码，避免使用特殊字符
2. 或者对密码中的特殊字符进行适当转义（视具体使用的MySQL驱动而定）

建议采用第一种方案，将密码改为仅包含字母数字的组合，例如：

ALTER USER 'categraf'@'127.0.0.1' IDENTIFIED BY 'NewPassword123';

经验总结

1. 监控系统账号密码应尽量简单，避免特殊字符
2. 不同客户端对密码特殊字符的处理可能存在差异
3. 在配置监控工具时，应先测试基础连接性
4. 对于生产环境，建议为监控系统创建专用账号并严格控制权限

最佳实践建议

1. 为监控系统创建专用账号，遵循最小权限原则
2. 密码策略应平衡安全性和兼容性
3. 多实例监控时，确保每个实例的监控账号配置一致
4. 定期检查监控账号的有效性，避免因密码过期导致监控中断

通过这次问题排查，我们认识到在配置监控系统时，不仅要关注权限设置，还需要注意基础认证信息的兼容性问题，特别是当使用特殊字符时可能带来的潜在风险。