sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定
安全应急响应工作中,一项重要任务就是要对mysql数据库的日志进行分析。我们通过对mysql日志记录的审计,发现攻击行为,进而追溯攻击源。在工作中遇见的各种服务器上,由于mysql安装方式不同,其日志文件存放的位置也不固定。要进行日志分析,首先第一步要找到日志文件的位置,因此,本文总结一些常用的快速查找mysql日志文件存放目录方法,以便日后使用。
一、OS层
1、服务通用查找法。先通过netstat命令grep出mysql的pid,再通过ps aux找到mysql的当前配置,代码如下
可以看到,mysqld的/var/log目录为日志文件的存放目录。
2、find命令查找法。此法可以大概找到mysql的相关目录,然后需要再凭经验判断mysql日志文件的存放路径。
[root@redwand ~]# find / -name mysql
[root@redwand ~]# find / -name mysqld
[root@redwand ~]# locate mysql
3、
配置文件查找法。找到配置文件my.cnf(my.ini),读取文件中配置参数,找到日志路径。
[root@redwand ~]# find / -name my.cnf
/etc/my.cnf
[root@redwand ~]# cat /etc/my.cnf
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
general_log = 1
log_output = TABLE
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
4、redhat系统rpm命令查找法。在redhat类似发行版本的Linux系统中,rpm命令有很好的查看安装包的功能。
[root@redwand ~]# rpm -qa | grep mysql # -a Query all installed packages
[root@redwand ~]# rpm -ql mysql-libs-5.1.73-8.el6_8.x86_64 # -l List files in package
[root@redwand ~]# rpm -qf `which mysql` # -f Query package owning FILE
mysql-5.1.73-8.el6_8.x86_64
二、DB层。
当我们已经知道了数据库的账号和密码,成功登陆mysql后,可以使用DB命令查看mysql特殊变量的值来找。
mysql> show global variables like '%log%';
+-----------------------------------------+---------------------------------+
| Variable_name | Value |
+-----------------------------------------+---------------------------------+
| back_log | 50 |
| binlog_cache_size | 32768 |
| binlog_direct_non_transactional_updates | OFF |
| binlog_format | STATEMENT |
| expire_logs_days | 0 |
| general_log | ON |
| general_log_file | /var/run/mysqld/mysqld.log |
| innodb_flush_log_at_trx_commit | 1 |
| innodb_locks_unsafe_for_binlog | OFF |
| innodb_log_buffer_size | 1048576 |
| innodb_log_file_size | 5242880 |
| innodb_log_files_in_group | 2 |
| innodb_log_group_home_dir | ./ |
| innodb_mirrored_log_groups | 1 |
| log | ON |
| log_bin | OFF |
| log_bin_trust_function_creators | OFF |
| log_bin_trust_routine_creators | OFF |
| log_error | /var/log/mysqld.log |
| log_output | TABLE |
| log_queries_not_using_indexes | OFF |
| log_slave_updates | OFF |
| log_slow_queries | OFF |
| log_warnings | 1 |
| max_binlog_cache_size | 18446744073709547520 |
| max_binlog_size | 1073741824 |
| max_relay_log_size | 0 |
| relay_log | |
| relay_log_index | |
| relay_log_info_file | relay-log.info |
| relay_log_purge | ON |
| relay_log_space_limit | 0 |
| slow_query_log | OFF |
| slow_query_log_file | /var/run/mysqld/mysqld-slow.log |
| sql_log_bin | ON |
| sql_log_off | OFF |
| sql_log_update | ON |
| sync_binlog | 0 |
+-----------------------------------------+---------------------------------+
38 rows in set (0.00 sec)
同时,我们还可以查看特殊变量,找到数据库data目录。
mysql> select @@datadir;
+-----------------+
| @@datadir |
+-----------------+
| /var/lib/mysql/ |
+-----------------+
1 row in set (0.00 sec)
sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定相关推荐
- docker mysql日志_面试官问:了解Mysql主从复制原理么?我呵呵一笑
搭建Mysql主从同步之前,我们先来说他们之间同步的过程与原理: 同步复制过程 献上一张图,这张图诠释了整个同步过程 主从复制过程: slave节点与主节点进行连接,建立主从关系,并把从哪开始同步,及 ...
- mysql pt_MySQL慢查询之pt-query-digest分析慢查询日志
一.简介 pt-query-digest是用于分析mysql慢查询的一个工具,它可以分析binlog.General log.slowlog,也可以通过SHOWPROCESSLIST或者通过tcpdu ...
- adb logcat 抓取日志_手机抓取崩溃的log日志(安卓/ios)
android闪退获取日志方法: 1下载adb工具包 (工具包自己找,adb原理https://zhuanlan.zhihu.com/p/96468249) 2.注意事项 请确保电脑上只连接了一台手机 ...
- php mysql服务器配置_配置最新的PHP加MYSQL服务器
通过一个小时的研究和设置.实现了最新的 PHP 5.0 + MYSQL 5.0 + WIN2003. 个人认为还是有必要写个教程出来.因为很多方面和老版本的不尽相同.说实话自己也是查阅了很多官方文档才 ...
- tomcat ng mysql 集成_整合nginx,tomcat,mysql的安装与配置
linux下Nginx+tomcat+mysql整合的安装与配置维护 安装Tomcat和JDK上传apache-tomcat-6.0.18.tar.gz和jdk-6u12-linux-i586.bin ...
- 阿里云怎样操作mysql数据库_阿里云主机如何操作mysql数据库
阿里云主机如何操作mysql数据库,阿里云上传mysql数据库. 在阿里云ecs云服务器上部署数据库后,在平常的操作中可能会遇到些问题,可以先做个大致的了解: 如果您想看更多的在ecs上的数据库的相关 ...
- 本地mysql和阿里云mysql同步_阿里云RDS和本地mysql做主从同步
一.从RDS备份要同步的数据库到本地服务器 建议将表结构和数据分开备份. [root@localhost ~]# mysqldump -hrm-wz9a985njgong7yh5.mysql.rds. ...
- java mysql死锁_记一次线上mysql死锁分析(一)
记录一次比较诡异的mysql死锁日志.系统运行几个月来,就在前几天发生了一次死锁,而且就只发生了一次死锁,整个排查过程耗时将近一天,最后感谢我们的DBA大神和老大一起分析找到原因. 诊断死锁 借助于我 ...
- Mysql优化_慢查询开启说明及Mysql慢查询分析工具mysqldumpslow用法讲解
Mysql慢查询开启 Mysql的查询讯日志是Mysql提供的一种日志记录,它用来记录在Mysql中响应时间超过阈值的语句,具体指运行时间超过long_query_time值得SQL,则会被记录到慢查 ...
最新文章
- 面了一个47的程序员,我很慌...
- Selenium 3 + BrowserMobProxy 2.1.4 模拟浏览器访问 (含趟坑)
- oracle awr 数据删除,Oracle AWR 删除历史快照 说明【转自dave偶像大神】
- redis入门——服务器篇
- PHP服务端推送技术Long Polling
- github因网络问题无法git clone解决办法
- html5 dom storage,Client-side data storing,DOM storage or HTML5 Local Storage?
- MAN PAGE: cvslock(1)
- zookeeper 进入客户端_探究—Zookeeper的启动过程
- LINUX检查一个进程内存增长的脚本
- 若依框架入门(前后端分离版本)
- 调用百度API,文字转语音
- 网络协议学习---LLDP协议学习
- 技术美术个人笔记(三)——各贴图格式
- Alice and the List of Presents CodeForces - 1236B 数学推导
- 验证方法学的发展历程及比较
- 搜狗输入法截屏工具的使用
- python多进程编程_【玩树莓】编程篇(八)Python多线程、多进程编程
- 【centos】geoserver支持ecw
- 使用Python抓取网易云音乐所有歌手信息
热门文章
- 链接不到服务器_新手搭建云服务器详细过程
- 我教育和科研计算机网是指,我校成为中国教育和科研计算机网湘潭城市节点单位...
- 使用系统调用pipe建立一条管道线_【Linux系统】Linux进程间通信
- 电脑上有一个程序一直在按向上_HUAWEI Matebook 九个超牛电脑快捷键
- P3157 [CQOI2011]动态逆序对 (CDQ解决三维偏序问题)
- Luogu T16048 会议选址
- ibatis中resultClass与resultMap 的区别
- sqlite-常用语句
- android中多线程绘制曲线图实例
- C++编写DLL的方法