2. 程式人生 > >MySQL抓包審計工具:mysql-sniffer

MySQL抓包審計工具:mysql-sniffer

阿新 發佈:2018-12-28

最近公司在搞資料審計安全,但是又不想開審計日誌消耗伺服器效能,就去找第三方工具。

下面就是本人在測試以及生產環境安裝使用mysql-sniffer的步驟以及解決安裝過程中的各種報錯。

github地址:https://github.com/Qihoo360/mysql-sniffer

簡介

MySQL Sniffer 是一個基於 MySQL 協議的抓包工具,實時抓取 MySQLServer 端或 Client 端請求,並格式化輸出。輸出內容包括訪問時間、訪問使用者、來源 IP、訪問 Database、命令耗時、返回資料行數、執行語句等。有批量抓取多個埠,後臺執行,日誌分割等多種使用方式,操作便捷,輸出友好。

同時也適用抓取 Atlas 端的請求,Atlas 是奇虎開源的一款基於MySQL協議的資料中間層專案,專案地址:https://github.com/Qihoo360/Atlas

同類型工具還有vc-mysql-sniffer,以及 tshark 的 -e mysql.query 引數來解析 MySQL 協議。

使用

建議在 centos6.2 及以上編譯安裝,並用 root 執行。

依賴

glib2-devel(2.28.8)、libpcap-devel(1.4.0)、libnet-devel(1.1.6)

安裝步驟

1 首先安裝依賴包,以及git

yum install cmake libpcap-devel  glib2-devel   libnet-devel git  gcc-c++
 
git clone https://github.com/Qihoo360/mysql-sniffer
cd mysql-sniffer
mkdir proj
cd proj
cmake ../

輸出如下:

make

報錯/usr/lib64/libpthread.so.0: error adding symbols: DSO missing from command line

解決報錯 根據github上的issue中有人遇到這個問題,解決如下:

修改檔案mysql-sniffer/src/CMakeLists.txt 新增libpthread.so.0

TARGET_LINK_LIBRARIES(mysql-sniffer optimized
libnidstcpreasm.a
libpthread.so.0
libnet.a
libpcap.a
libglib-2.0.a
libgthread-2.0.a
librt.so)

TARGET_LINK_LIBRARIES(mysql-sniffer debug
libnidstcpreasm-dbg.a
libpthread.so.0
libnet.a
libpcap.a
libglib-2.0.a
libgthread-2.0.a
librt.so)

重新make成功,在bin下生成命令mysql-sniffer

安裝完成。

使用

./mysql-sniffer -h
Usage ./mysql-sniffer [-d] -i eth0 -p 3306,3307,3308 -l /var/log/mysql-sniffer/ -e stderr
         [-d] -i eth0 -r 3000-4000
         -d daemon mode.
         -s how often to split the log file(minute, eg. 1440). if less than 0, split log everyday
         -i interface. Default to eth0
         -p port, default to 3306. Multiple ports should be splited by ','. eg. 3306,3307
            this option has no effect when -f is set.
         -r port range, Don't use -r and -p at the same time
         -l query log DIRECTORY. Make sure that the directory is accessible. Default to stdout.
         -e error log FILENAME or 'stderr'. if set to /dev/null, runtime error will not be recorded
         -f filename. use pcap file instead capturing the network interface
         -w white list. dont capture the port. Multiple ports should be splited by ','.
         -t truncation length. truncate long query if it's longer than specified length. Less than 0 means no truncation
         -n keeping tcp stream count, if not set, default is 65536. if active tcp count is larger than the specified count, mysql-sniffer will remove the oldest one

示例

1. 實時抓取某埠資訊並列印到螢幕

輸出格式為:時間,訪問使用者,來源 IP,訪問 Database,命令耗時,返回資料行數,執行語句。

[[email protected] bin]# ./mysql-sniffer -i ens160 -p 3306


2018-12-11 11:45:55	 dba	 10.238.133.45	 NULL	          0ms	          0	 SET NAMES utf8
2018-12-11 11:46:00	 dba	 10.238.133.45	 NULL	          0ms	          0	 SET NAMES utf8
2018-12-11 11:46:00	 dba	 10.238.133.45	 NULL	          0ms	          2	 SHOW VARIABLES LIKE 'lower_case_%'
2018-12-11 11:46:00	 dba	 10.238.133.45	 NULL	          0ms	          1	 SHOW VARIABLES LIKE 'profiling'
2018-12-11 11:46:00	 dba	 10.238.133.45	 NULL	          0ms	          4	 SHOW DATABASES
2018-12-11 11:46:01	 dba	 10.238.133.45	 NULL	          0ms	          0	 SET NAMES utf8
2018-12-11 11:46:01	 dba	 10.238.133.45	 mysql	          0ms	          0	 use mysql
2018-12-11 11:46:01	 dba	 10.238.133.45	 mysql	          0ms	          1	 SELECT @@character_set_database, @@collation_database

2. 實時抓取某埠資訊並列印到檔案

-l 指定日誌輸出路徑,日誌檔案將以 port.log 命名。

mysql-sniffer -i eth0 -p 3306 -l /tmp

3. 實時抓取多個埠資訊並列印到檔案

-l 指定日誌輸出路徑,-p 指定需要抓取的埠列表逗號分割。日誌檔案將以各自 port.log 命名。

mysql-sniffer -i eth0 -p 3306,3307,3310 -l /tmp

相關推薦

MySQL審計工具mysql-sniffer

最近公司在搞資料審計安全,但是又不想開審計日誌消耗伺服器效能,就去找第三方工具。 下面就是本人在測試以及生產環境安裝使用mysql-sniffer的步驟以及解決安裝過程中的各種報錯。 github地址:https://github.com/Qihoo360/mysql-sniffer

ELK Packetbeat配置使用及MySQL審計

一、Packetbeat 概述 Packetbeat 輕量型網路資料採集器 用於深挖網線上傳輸的資料,瞭解應用程式動態。Packetbeat 是一款輕量型網路資料包分析器,能夠將資料傳送至 Logstash 或 Elasticsearch等。 目前,Packe

MySQL工具MySQL Sniffer

轉自訂閱號「HULK一線技術雜談」,本文作者是 360 HULK私有云-DBA團隊,360HULK私有云團隊是奇虎360公司內部專屬私有云平臺的締造者,團隊涉及雲端計算、資料庫、大資料、監控等眾多技術領域,擁有夯實的技術積累和豐富的一線實戰經驗 。 簡介 MySQ

MySQL工具

1 [email protected]:~# mysql-sniffer -h 2 Usage mysql-sniffer [-d] -i eth0 -p 3306,3307,3308 -l /var/log/mysql-sniffer/ -e stderr 3 [-d]

MySQL管理工具mysql、mysqladmin、mysqldump

mysql: 功能:命令列SQL工具 # mysql # mysql -u root -p 輸入密碼 mysql> mysql>exit # mysql -u root -p '密碼'(不能登入) 進入指定資料庫: mysql>use 資料庫 # mysql

Charles工具破解和https問題解決中文亂碼,Androidhttps亂碼

Charles 破解: 4.0.2 (Mac:/Application/Charles.app/Contents/Java)替換就破解了。 其實看這裡就夠了,下面總結下: 1.檢視電腦端ip.手機端編輯WiFi 繫結代理 手動 ip+埠。(手機wifi和電腦端網

【騰訊開源】LivePool基於Node.js的跨平臺Web替換工具

LivePool 是一個基於 NodeJS,類似 Fiddler 能夠支援抓包和本地替換的 Web 開發除錯工具,是Tencent AlloyTeam 在開發實踐過程總結出的一套的便捷的工作流以及除錯方案。 背景 在 Windows 平臺上,Fiddler 作為一款非常便捷好用的 Web 除錯工具

分析工具—tcpdump

tcpdump tcpdump(dump the traffic on a network)是一款在Unix下一款比較實用的一款用於分析數據包的工具,它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句、布爾表達式對報文的報頭匹配,在linux系統下如果未安裝可以通過yum

Kali滲透測試2-/DNS工具

abd trace 數據 CP str 2-2 rec actual ali 轉載請註明出處。 TCPDUMP:命令行網絡抓包工具tcpdump -h tcpdump version 4.9.2 libpcap version 1.8.1 OpenSSL 1.1.0h

MYSQL初級學習筆記七MySQL中使用正則表達式!(視頻序號初級_44)

value opened 序號 eight 方式 字符 用戶 包括 學習 知識點九:MySQL中使用正則表達式(44) (1):REGEXP‘匹配方式’: (2):常用匹配方式: 模式字符 ^ 匹配字符開始的部分 $ 匹配字符串結尾的

Fiddler4-工具介紹(request和response)

服務器 src 工具 -type 每一個 請求頭 協議 內容 直接 前言 本篇簡單的介紹下fiddler界面的幾塊區域,以及各自區域到底是幹什麽用的,以便於各好的掌握這個工具 一、工具簡介 1.第一塊區域是設置菜單,這個前面2篇都有介紹 2.第二塊區域是一些快捷菜單,可

Centos7 上安裝mysql遇上的問題mysql無法正常啟動

ystemd 版本 查看 lan 刪除 my.cnf 執行 b2c sys 第一次在Centos上安裝mysql遇到的一些問題。 第一步就遇到問題,安裝mysql-server報錯沒有可用包。 【解決方法】 先要安裝mysql # wget http://repo.mys

MySQL的高可用實現MySQL系列之十四

一致性 ilo ply purge shutdown monitor 半同步 eve 延遲 MySQL的高可以有三種實現方式:多主模式(Multi Master MySQL),MHA(Master High Availability)和 Galera Cluster:wr

mysql系列詳解四mysql事務-技術流ken

orm value 進行 show _for 就是 原子 div str MySQL 事務 MySQL 事務主要用於處理操作量大,復雜度高的數據。比如說,在人員管理系統中,你刪除一個人員,你即需要刪除人員的基本資料,也要刪除和該人員相關的信息,如信箱,文章等等,這樣,這些數

MySQL系列詳解七MySQL實現雙主架構演示-技術流ken

back span procedure eve mysql- ack community chang tee 前言 在企業中,數據庫高可用一直是企業的重中之重,中小企業很多都是使用mysql主從方案,一主多從,讀寫分離等,但是單主存在單點故障,從庫切換成主庫需要作改動。

mysql學習與提高4mysql的兩種儲存引擎的索引儲存機制

目錄 概要  MyISAM索引實現 InnoDB索引實現 總結 概要  Mysql的BTree索引使用的是B數中的B+Tree,但對於主要的兩種儲存引擎的實現方式是不同的。 MyISAM索引實現 MyISAM引擎使用B+Tree作為索引結構,葉節點的data域存放

mysql學習與提高3mysql索引

目錄 索引 B Tree 原理 索引分類 B+Tree 索引 雜湊索引 全文索引 空間資料索引(R-Tree) 索引的特點 索引的優點 索引的缺點 索引失效 在什麼情況下適合建立索引 為什麼用B+樹做索引而不用B-樹或紅黑樹 聯合索引 什麼

mysql學習與提高2mysql儲存引擎

目錄 儲存引擎 有哪些儲存引擎 如何檢視儲存引擎 InnoDB MyISAM MyISAM 與InnoDB比較 總結 儲存引擎 什麼是儲存引擎呢? 儲存引擎說白了就是如何儲存資料、如何為儲存的資料建立索引和如何更新、查詢資料等技術的實現方法。 有哪些儲

mysql學習與提高1mysql架構總覽

一、MySQL整體邏輯架構 我們先下圖看看MySQL整體邏輯架構(MySQL’s Logical Architecture)                       圖1&

mysql系列詳解三mysql中各類日誌詳解-技術流ken

1.前言 日誌檔案記錄了MySQL資料庫的各種型別的活動,MySQL資料庫中常見的日誌檔案有 查詢日誌,慢查詢日誌,錯誤日誌,二進位制日誌,中繼日誌 。下面分別對他們進行介紹。   2.查詢日誌   1.檢視查詢日誌變數 查詢日誌即檢視日誌記錄了所有對 My