该小工具通过实时获取数据包的方式,分析并解析出请求的sql语句、执行用户、执行状态和执行时间,insert和update语句对数据做了格式化操作,update语句的where条件保留了数据,select、delete语句未做格式化,可以放于应用端、中间件层、mysql服务器上,在不影响mysql本身性能的情况下获取所有语句的基本情况,可做审计作用,如果是新建连接会从数据包中解析出用户名、如果是长连接且提供了mysql连接使用的用户名密码会远程连接数据库获取连接所用的用户名,假如需从数据库获取用户,该工具获取的数据流来源ip信息应该是直连数据库或未被中间件改变,因为使用数据包解析出的ip作为连接数据库或查询的依据,如果不能直接获取可以先启动小工具再启动应用或中间件,这样可以解包获取用户名,兼容py2、py3:
需求的包: dpkt、psutil、pypacp、pymysql
执行方式: python tcp_audit.py -h 可以获取参数介绍
示例: 比如我在中间件层对后面3306端口的数据流进行监听: python tcp_audit.py -e eth0 -p 3306 -t src -u username -P password 如果是对本地端口进行监听,比如我们中间件层端口为6001: python tcp_audit.py -e eth0 -p 6001 -t des (这里未提供用户名密码,因为中间件改变了来源信息,而我监听的是应用到中间件这层的数据流,所以不能直接获取链接所使用的用户,只能使用默认的解包获取)
获取内容打印如下: 2019-08-06 08:52:22,984 INFO log.py : INFO source_host: 10.1.11.59 source_port: 59272 destination_host: 10.1.1.46 destination_port: 3306 user_name: test01 sql: INSERT INTO proxy_heart_beat.tb_heartbeat (p_id, p_ts) VALUES('?', '?') values: None execute_time:0.0001 status:#42000INSERT, UPDATE command denied to user 'test01'@'10.1.11.59' for table 'tb_heartbeat'
日志每10分钟切割一次,保留一个小时,如果有需要保留更长或者更改切割时间,可以修改log.py中的参数
特别提醒: 如果数据流比较大,该小工具会占用不少的cpu时间