sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定
安全應急響應工作中,一項重要任務就是要對mysql數據庫的日志進行分析。我們通過對mysql日志記錄的審計,發現攻擊行為,進而追溯攻擊源。在工作中遇見的各種服務器上,由于mysql安裝方式不同,其日志文件存放的位置也不固定。要進行日志分析,首先第一步要找到日志文件的位置,因此,本文總結一些常用的快速查找mysql日志文件存放目錄方法,以便日后使用。
一、OS層
1、服務通用查找法。先通過netstat命令grep出mysql的pid,再通過ps aux找到mysql的當前配置,代碼如下
可以看到,mysqld的/var/log目錄為日志文件的存放目錄。
2、find命令查找法。此法可以大概找到mysql的相關目錄,然后需要再憑經驗判斷mysql日志文件的存放路徑。
[root@redwand ~]# find / -name mysql
[root@redwand ~]# find / -name mysqld
[root@redwand ~]# locate mysql
3、
配置文件查找法。找到配置文件my.cnf(my.ini),讀取文件中配置參數,找到日志路徑。
[root@redwand ~]# find / -name my.cnf
/etc/my.cnf
[root@redwand ~]# cat /etc/my.cnf
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
general_log = 1
log_output = TABLE
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
4、redhat系統rpm命令查找法。在redhat類似發行版本的Linux系統中,rpm命令有很好的查看安裝包的功能。
[root@redwand ~]# rpm -qa | grep mysql # -a Query all installed packages
[root@redwand ~]# rpm -ql mysql-libs-5.1.73-8.el6_8.x86_64 # -l List files in package
[root@redwand ~]# rpm -qf `which mysql` # -f Query package owning FILE
mysql-5.1.73-8.el6_8.x86_64
二、DB層。
當我們已經知道了數據庫的賬號和密碼,成功登陸mysql后,可以使用DB命令查看mysql特殊變量的值來找。
mysql> show global variables like '%log%';
+-----------------------------------------+---------------------------------+
| Variable_name | Value |
+-----------------------------------------+---------------------------------+
| back_log | 50 |
| binlog_cache_size | 32768 |
| binlog_direct_non_transactional_updates | OFF |
| binlog_format | STATEMENT |
| expire_logs_days | 0 |
| general_log | ON |
| general_log_file | /var/run/mysqld/mysqld.log |
| innodb_flush_log_at_trx_commit | 1 |
| innodb_locks_unsafe_for_binlog | OFF |
| innodb_log_buffer_size | 1048576 |
| innodb_log_file_size | 5242880 |
| innodb_log_files_in_group | 2 |
| innodb_log_group_home_dir | ./ |
| innodb_mirrored_log_groups | 1 |
| log | ON |
| log_bin | OFF |
| log_bin_trust_function_creators | OFF |
| log_bin_trust_routine_creators | OFF |
| log_error | /var/log/mysqld.log |
| log_output | TABLE |
| log_queries_not_using_indexes | OFF |
| log_slave_updates | OFF |
| log_slow_queries | OFF |
| log_warnings | 1 |
| max_binlog_cache_size | 18446744073709547520 |
| max_binlog_size | 1073741824 |
| max_relay_log_size | 0 |
| relay_log | |
| relay_log_index | |
| relay_log_info_file | relay-log.info |
| relay_log_purge | ON |
| relay_log_space_limit | 0 |
| slow_query_log | OFF |
| slow_query_log_file | /var/run/mysqld/mysqld-slow.log |
| sql_log_bin | ON |
| sql_log_off | OFF |
| sql_log_update | ON |
| sync_binlog | 0 |
+-----------------------------------------+---------------------------------+
38 rows in set (0.00 sec)
同時,我們還可以查看特殊變量,找到數據庫data目錄。
mysql> select @@datadir;
+-----------------+
| @@datadir |
+-----------------+
| /var/lib/mysql/ |
+-----------------+
1 row in set (0.00 sec)
總結
以上是生活随笔為你收集整理的sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: win10专用网和公用网的区别是什么?(
- 下一篇: mysql大数据更新缓存_redis缓存