在我们的工作环境中正好这两个需求都有,又是用的官方版本,我们在尽量不想影响mysql本身性能的前提下最开始使用脚本每秒执行一次show processlist获取sql记录,这始终存在时间间隔,如果sql本身执行很快使用这种方式并不能获取到,最终我们通过调研mysql通信协议,考虑使用python抓包分析的方式来实现功能,经过我们线上使用功能基本没什么问题,开源出来供大家测试、使用,代码很简单,主要是对mysql协议的理解:
实现原理
1. 通过pypcap获取数据包,利用dpkt进行解包
2. 通过mysql协议发包回报过程组装session
3. 执行时间利用session开始结束时间进行计算(pypcap在py2中返回的时间戳只精确到十毫秒,所以在代码中使用当前时间做计算,会存在偏差)
4. 执行操作的用户名获取方式分为两种,如果是新建连接通过解包获取,如果是已经存在的长连接,通过后端数据库中processlist获取(前提是工具所获取的数据流后端就是mysql才能使用)
执行方式:
python tcp_audit.py -h 可以获取参数介绍
示例:
1、比如我在中间件层对后面3306端口的数据流进行监听:
python tcp_audit.py -e eth0 -p 3306 -t src -u username -P password
2、如果是对本地端口进行监听,比如我们中间件层端口为6001:
python tcp_audit.py -e eth0 -p 6001 -t des (这里未提供用户名密码,因为中间件改变了来源信息,而我监听的是应用到中间件这层的数据流,所以不能直接获取链接所使用的用户,只能使用默认的解包获取)
3、获取内容打印如下:
2019-08-06 08:52:22,984 INFO log.py : INFO source_host: 10.1.11.59 source_port: 59272 destination_host: 10.1.1.46 destination_port: 3306 user_name: test01 sql: INSERT INTO proxy_heart_beat.tb_heartbeat (p_id, p_ts) VALUES('?', '?') values: None execute_time:0.0001 status:#42000INSERT, UPDATE command denied to user 'test01'@'10.1.11.59' for table 'tb_heartbeat'
特别提醒:
1. 如果数据流非常大,该工具会使用不小的cpu时间
2. 日志保存在log目录,且默认10分钟切割一次,保留一个小时的数据,如有需要可自行修改log.py中的配置
需求的包:
dpkt、psutil、pypacp、pymysql
使用该工具可以搜集日志到elk等日志平台进行分析保存,也可直接保存为文件自己过滤分析
github 地址: https://github.com/wwwbjqcom/mysql_audit
有任何疑问或使用中的问题可以加qq群(479472450)交流