sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定
安全應(yīng)急響應(yīng)工作中,一項(xiàng)重要任務(wù)就是要對mysql數(shù)據(jù)庫的日志進(jìn)行分析。我們通過對mysql日志記錄的審計(jì),發(fā)現(xiàn)攻擊行為,進(jìn)而追溯攻擊源。在工作中遇見的各種服務(wù)器上,由于mysql安裝方式不同,其日志文件存放的位置也不固定。要進(jìn)行日志分析,首先第一步要找到日志文件的位置,因此,本文總結(jié)一些常用的快速查找mysql日志文件存放目錄方法,以便日后使用。
一、OS層
1、服務(wù)通用查找法。先通過netstat命令grep出mysql的pid,再通過ps aux找到mysql的當(dāng)前配置,代碼如下
可以看到,mysqld的/var/log目錄為日志文件的存放目錄。
2、find命令查找法。此法可以大概找到mysql的相關(guān)目錄,然后需要再憑經(jīng)驗(yàn)判斷mysql日志文件的存放路徑。
[root@redwand ~]# find / -name mysql
[root@redwand ~]# find / -name mysqld
[root@redwand ~]# locate mysql
3、
配置文件查找法。找到配置文件my.cnf(my.ini),讀取文件中配置參數(shù),找到日志路徑。
[root@redwand ~]# find / -name my.cnf
/etc/my.cnf
[root@redwand ~]# cat /etc/my.cnf
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
general_log = 1
log_output = TABLE
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
4、redhat系統(tǒng)rpm命令查找法。在redhat類似發(fā)行版本的Linux系統(tǒng)中,rpm命令有很好的查看安裝包的功能。
[root@redwand ~]# rpm -qa | grep mysql # -a Query all installed packages
[root@redwand ~]# rpm -ql mysql-libs-5.1.73-8.el6_8.x86_64 # -l List files in package
[root@redwand ~]# rpm -qf `which mysql` # -f Query package owning FILE
mysql-5.1.73-8.el6_8.x86_64
二、DB層。
當(dāng)我們已經(jīng)知道了數(shù)據(jù)庫的賬號和密碼,成功登陸mysql后,可以使用DB命令查看mysql特殊變量的值來找。
mysql> show global variables like '%log%';
+-----------------------------------------+---------------------------------+
| Variable_name | Value |
+-----------------------------------------+---------------------------------+
| back_log | 50 |
| binlog_cache_size | 32768 |
| binlog_direct_non_transactional_updates | OFF |
| binlog_format | STATEMENT |
| expire_logs_days | 0 |
| general_log | ON |
| general_log_file | /var/run/mysqld/mysqld.log |
| innodb_flush_log_at_trx_commit | 1 |
| innodb_locks_unsafe_for_binlog | OFF |
| innodb_log_buffer_size | 1048576 |
| innodb_log_file_size | 5242880 |
| innodb_log_files_in_group | 2 |
| innodb_log_group_home_dir | ./ |
| innodb_mirrored_log_groups | 1 |
| log | ON |
| log_bin | OFF |
| log_bin_trust_function_creators | OFF |
| log_bin_trust_routine_creators | OFF |
| log_error | /var/log/mysqld.log |
| log_output | TABLE |
| log_queries_not_using_indexes | OFF |
| log_slave_updates | OFF |
| log_slow_queries | OFF |
| log_warnings | 1 |
| max_binlog_cache_size | 18446744073709547520 |
| max_binlog_size | 1073741824 |
| max_relay_log_size | 0 |
| relay_log | |
| relay_log_index | |
| relay_log_info_file | relay-log.info |
| relay_log_purge | ON |
| relay_log_space_limit | 0 |
| slow_query_log | OFF |
| slow_query_log_file | /var/run/mysqld/mysqld-slow.log |
| sql_log_bin | ON |
| sql_log_off | OFF |
| sql_log_update | ON |
| sync_binlog | 0 |
+-----------------------------------------+---------------------------------+
38 rows in set (0.00 sec)
同時(shí),我們還可以查看特殊變量,找到數(shù)據(jù)庫data目錄。
mysql> select @@datadir;
+-----------------+
| @@datadir |
+-----------------+
| /var/lib/mysql/ |
+-----------------+
1 row in set (0.00 sec)
總結(jié)
以上是生活随笔為你收集整理的sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: win10专用网和公用网的区别是什么?(
- 下一篇: linux cmake编译源码,linu