MySQL抓包工具:MySQL Sniffer
這兩天看到群裡發了一個開源軟體,是關於MYSQL實時抓包的工具。頓時讓我想到了之前做故障定位時的一些需求,之前針對連線資料庫的連線資訊進行審計定位,做過MYSQL自身的審計功能開啟(有不少坑,慎用),也透過tcpdump做過一些分析(直接讀分析日誌比較難以看明白,在資料庫連線abort值高時使用)。而實時的連線監控、分析,我們一般使用mysqladmin/show full processlist 命令檢視,也可直接查詢processlist表。但長時間監控連線資料庫的應用IP、操作記錄,目前沒有什麼特別好的工具,此工具讓我眼前一亮,頓時有嘗試試用看看的想法,它的名字就是:MySQL Sniffer。
MySQL Sniffer簡介:(來自開源工具的readme)
MySQL Sniffer 是一個基於 MySQL 協議的抓包工具,實時抓取 MySQLServer 端或 Client 端請求,並格式化輸出。輸出內容包括訪問時間、訪問使用者、來源 IP、訪問 Database、命令耗時、返回資料行數、執行語句等。有批次抓取多個埠,後臺執行,日誌分割等多種使用方式,操作便捷,輸出友好。同時也適用抓取 Atlas 端的請求,Atlas 是奇虎開源的一款基於MySQL協議的資料中間層專案,專案地址:[]()。同型別工具還有vc-mysql-sniffer,以及 tshark 的 -e mysql.query 引數來解析 MySQL 協議。
MySQL Sniffer安裝使用:
(1)安裝環境
建議在 centos6.2 及以上編譯安裝,並用 root 執行
(2)依賴包
glib2.0、libpcap、libnet
(3)下載地址
git clone git@github.com:Qihoo360/mysql-sniffer.git
(4)安裝過程
[root@virtual01 mysql_sniff]# unzip mysql-sniffer-master.zip
[root@virtual01 mysql_sniff]# cd mysql-sniffer-master
[root@virtual01 mysql-sniffer-master]# cmake ./
[root@virtual01 mysql-sniffer-master]# make -j 8
[root@virtual01 mysql-sniffer-master]# cd ../
[root@virtual01 mysql_sniff]# mv mysql-sniffer-master /usr/local/mysql_sniffer
[root@virtual01 mysql_sniff]# ln -s /usr/local/mysql_sniffer/bin/mysql-sniffer /usr/bin/
(5)命令引數
[root@cyou_virtual01 ~]# mysql-sniffer -h
Usage mysql-sniffer [-d] -i eth0 -p 3306,3307,3308 -l /var/log/mysql-sniffer/ -e stderr
[-d] -i eth0 -r 3000-4000
-d daemon mode.(後臺執行)
-s how often to split the log file(minute, eg. 1440). if less than 0, split log everyday (多久分隔一次日誌,分鐘為單位,如果小於0,按天分隔)
-i interface. Default to eth0(指定監控網路卡介面)
-p port, default to 3306. Multiple ports should be splited by ','. eg. 3306,3307 (指定監聽的埠,多埠用逗號分隔)
this option has no effect when -f is set.
-r port range, Don't use -r and -p at the same time (指定埠範圍,例如 -r 2000-5000)
-l query log DIRECTORY. Make sure that the directory is accessible. Default to stdout.(指定輸出日誌的目錄,檔名義埠命名,例如3306.log,監聽程式終止後輸出到日誌)
-e error log FILENAME or 'stderr'. if set to /dev/null, runtime error will not be recorded(指定錯誤日誌輸出路徑)
-f filename. use pcap file instead capturing the network interface (用pcap代替監聽)
-w white list. dont capture the port. Multiple ports should be splited by ','.(白名單,不監控的埠)
-t truncation length. truncate long query if it's longer than specified length. Less than 0 means no truncation (超過查詢長度,截斷處理)
-n keeping tcp stream count, if not set, default is 65536. if active tcp count is larger than the specified count, mysql-sniffer will remove the oldest one(tcp流數量,預設65536)
(6)使用案例
1)實時抓取某埠資訊並列印到螢幕
輸出格式為:時間,訪問使用者,來源 IP,訪問 Database,命令耗時,返回資料行數,執行語句。
[root@virtual01 ~]# mysql-sniffer -i eth0 -p 3306
2017-03-02 10:25:28 root 192.168.110.29 NULL 0ms 1 select @@version_comment limit 1
2017-03-02 10:25:45 root 192.168.110.29 NULL 2ms 1 select sysdate()
2017-03-02 10:26:05 root 192.168.110.29 NULL 0ms 0 commit
2017-03-02 10:26:21 root 192.168.110.29 NULL 0ms 8 show variables like '%char%'
2)實時抓取某埠資訊並列印到檔案
-l 指定日誌輸出路徑,日誌檔案將以 port.log 命名。(監控程式停止後才會顯示日誌內容)
[root@virtual01 ~]# mysql-sniffer -i eth0 -p 3306 -l /tmp
[root@virtual01 ~]# ls -l /tmp/3306.log
-rw-r--r-- 1 root root 304 Mar 2 10:32 /tmp/3306.log
3)實時抓取多個埠資訊並列印到檔案
-l 指定日誌輸出路徑,-p 指定需要抓取的埠列表逗號分割。日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -p 3306,3307,3310 -l /tmp
4)實時抓取多個連續遞增的埠並列印到檔案
-l 指定日誌輸出路徑,-r 指定埠範圍,日誌檔案將以各自 port.log 命名
mysql-sniffer -i eth0 -r 3306-3310 -l /tmp
5)實時抓取多個連續遞增的埠同時過濾某幾個埠,並列印到檔案
-l 指定日誌輸出路徑,-r 指定埠範圍, -w 指定過濾埠列表逗號分割,日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -r 3306-3310 -w 3308,3309 -l /tmp
6)抓取某個埠以 daemon 模式執行,並列印到檔案
-l 指定日誌輸出路徑,-p 指定埠, -n 指定資料包個數,日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -p 3306 -l /tmp -d
7)抓取某個埠並擷取指定長度的 SQL
-p 指定埠, -t 指定SQL長度,將輸出 SQL的前n個字元(適用於 SQL 過長的場景)。
mysql-sniffer -i eth0 -p 3306 -t 100
MySQL Sniffer簡介:(來自開源工具的readme)
MySQL Sniffer 是一個基於 MySQL 協議的抓包工具,實時抓取 MySQLServer 端或 Client 端請求,並格式化輸出。輸出內容包括訪問時間、訪問使用者、來源 IP、訪問 Database、命令耗時、返回資料行數、執行語句等。有批次抓取多個埠,後臺執行,日誌分割等多種使用方式,操作便捷,輸出友好。同時也適用抓取 Atlas 端的請求,Atlas 是奇虎開源的一款基於MySQL協議的資料中間層專案,專案地址:[]()。同型別工具還有vc-mysql-sniffer,以及 tshark 的 -e mysql.query 引數來解析 MySQL 協議。
MySQL Sniffer安裝使用:
(1)安裝環境
建議在 centos6.2 及以上編譯安裝,並用 root 執行
(2)依賴包
glib2.0、libpcap、libnet
(3)下載地址
git clone git@github.com:Qihoo360/mysql-sniffer.git
(4)安裝過程
[root@virtual01 mysql_sniff]# unzip mysql-sniffer-master.zip
[root@virtual01 mysql_sniff]# cd mysql-sniffer-master
[root@virtual01 mysql-sniffer-master]# cmake ./
[root@virtual01 mysql-sniffer-master]# make -j 8
[root@virtual01 mysql-sniffer-master]# cd ../
[root@virtual01 mysql_sniff]# mv mysql-sniffer-master /usr/local/mysql_sniffer
[root@virtual01 mysql_sniff]# ln -s /usr/local/mysql_sniffer/bin/mysql-sniffer /usr/bin/
(5)命令引數
[root@cyou_virtual01 ~]# mysql-sniffer -h
Usage mysql-sniffer [-d] -i eth0 -p 3306,3307,3308 -l /var/log/mysql-sniffer/ -e stderr
[-d] -i eth0 -r 3000-4000
-d daemon mode.(後臺執行)
-s how often to split the log file(minute, eg. 1440). if less than 0, split log everyday (多久分隔一次日誌,分鐘為單位,如果小於0,按天分隔)
-i interface. Default to eth0(指定監控網路卡介面)
-p port, default to 3306. Multiple ports should be splited by ','. eg. 3306,3307 (指定監聽的埠,多埠用逗號分隔)
this option has no effect when -f is set.
-r port range, Don't use -r and -p at the same time (指定埠範圍,例如 -r 2000-5000)
-l query log DIRECTORY. Make sure that the directory is accessible. Default to stdout.(指定輸出日誌的目錄,檔名義埠命名,例如3306.log,監聽程式終止後輸出到日誌)
-e error log FILENAME or 'stderr'. if set to /dev/null, runtime error will not be recorded(指定錯誤日誌輸出路徑)
-f filename. use pcap file instead capturing the network interface (用pcap代替監聽)
-w white list. dont capture the port. Multiple ports should be splited by ','.(白名單,不監控的埠)
-t truncation length. truncate long query if it's longer than specified length. Less than 0 means no truncation (超過查詢長度,截斷處理)
-n keeping tcp stream count, if not set, default is 65536. if active tcp count is larger than the specified count, mysql-sniffer will remove the oldest one(tcp流數量,預設65536)
(6)使用案例
1)實時抓取某埠資訊並列印到螢幕
輸出格式為:時間,訪問使用者,來源 IP,訪問 Database,命令耗時,返回資料行數,執行語句。
[root@virtual01 ~]# mysql-sniffer -i eth0 -p 3306
2017-03-02 10:25:28 root 192.168.110.29 NULL 0ms 1 select @@version_comment limit 1
2017-03-02 10:25:45 root 192.168.110.29 NULL 2ms 1 select sysdate()
2017-03-02 10:26:05 root 192.168.110.29 NULL 0ms 0 commit
2017-03-02 10:26:21 root 192.168.110.29 NULL 0ms 8 show variables like '%char%'
2)實時抓取某埠資訊並列印到檔案
-l 指定日誌輸出路徑,日誌檔案將以 port.log 命名。(監控程式停止後才會顯示日誌內容)
[root@virtual01 ~]# mysql-sniffer -i eth0 -p 3306 -l /tmp
[root@virtual01 ~]# ls -l /tmp/3306.log
-rw-r--r-- 1 root root 304 Mar 2 10:32 /tmp/3306.log
3)實時抓取多個埠資訊並列印到檔案
-l 指定日誌輸出路徑,-p 指定需要抓取的埠列表逗號分割。日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -p 3306,3307,3310 -l /tmp
4)實時抓取多個連續遞增的埠並列印到檔案
-l 指定日誌輸出路徑,-r 指定埠範圍,日誌檔案將以各自 port.log 命名
mysql-sniffer -i eth0 -r 3306-3310 -l /tmp
5)實時抓取多個連續遞增的埠同時過濾某幾個埠,並列印到檔案
-l 指定日誌輸出路徑,-r 指定埠範圍, -w 指定過濾埠列表逗號分割,日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -r 3306-3310 -w 3308,3309 -l /tmp
6)抓取某個埠以 daemon 模式執行,並列印到檔案
-l 指定日誌輸出路徑,-p 指定埠, -n 指定資料包個數,日誌檔案將以各自 port.log 命名。
mysql-sniffer -i eth0 -p 3306 -l /tmp -d
7)抓取某個埠並擷取指定長度的 SQL
-p 指定埠, -t 指定SQL長度,將輸出 SQL的前n個字元(適用於 SQL 過長的場景)。
mysql-sniffer -i eth0 -p 3306 -t 100
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/27067062/viewspace-2134555/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Mysql抓包工具 - MySQL Sniffer 使用小結 (含帶general_log日誌)MySql
- tshark 抓包 mysql 協議包MySql協議
- Sniffer pro抓包盜取Telnet登入密碼實驗密碼
- Wireshark抓包工具使用教程以及常用抓包規則
- tcpdump抓包mysql建聯驗證TCP的三次握手TCPMySql
- Wireshark抓包工具解析HTTPS包HTTP
- 【工具】Fiddler抓包使用筆記筆記
- 手機抓包+注入黑科技HttpCanary——最強大的Android抓包注入工具HTTPPCAAndroid
- 【Mysql】MySQL管理工具MySQL UtilitiesMySql
- HTTP抓包HTTP
- tcpdump抓包TCP
- Debookee 8.1.2 網路資料抓包及分析工具
- 抓包整理外篇fiddler————瞭解工具欄[一]
- Percona-Tookit工具包之pt-mysql-summaryMySql
- mysql 分析工具MySql
- Https抓包HTTP
- iOS Charles抓包iOS
- iOS Wireshark抓包iOS
- iOS防止抓包iOS
- BLE抓包分析
- CentOS tcpflow抓包CentOSTCP
- wireshark抓包分析
- 【MySql】 MySql備份工具Xtrabackup之二MySql
- 【MySql】 MySql備份工具Xtrabackup之一MySql
- 談談HTTPS安全認證,抓包與反抓包策略HTTP
- https 真的安全嗎,可以抓包嗎,如何防止抓包嗎HTTP
- 抓包工具
- Wireshark網路抓包
- mitmproxy grpc 抓包MITRPC
- 【Charles】Https抓包HTTP
- Charles抓包實踐
- wireshark抓包學習
- 測試必備工具之抓包神器 Charles 如何抓取 https 資料包?HTTP
- MySQL監控工具MySql
- MySQL工具彙總MySql
- mysql備份工具MySql
- 基於 electron 實現簡單易用的抓包、mock 工具Mock
- 自制mysql的rpm包MySql