一、简介

MySQL Sniffer 是一个基于 MySQL 协议的抓包工具，实时抓取 MySQLServer 端或 Client 端请求，并格式化输出。输出内容包括访问时间、访问用户、来源 IP、访问 Database、命令耗时、返回数据行数、执行语句等。有批量抓取多个端口，后台运行，日志分割等多种使用方式，操作便捷，输出友好。

二、使用

建议在 centos6.2 及以上编译安装，并用 root 运行（eth0: You don't have permission to capture on that device (socket: Operation not permitted)）需要修改网卡权限。

三、安装

安装依赖

yum -y install glib2-devel libpcap-devel libnet-devel cmake
yum -y install gcc gcc-c++

软件安装

git clone https://github.com/Qihoo360/mysql-sniffer
cd mysql-sniffer
mkdir proj
cd proj
(编译问题： DSO missing from command line  解决 echo '-lpthread ' >>proj/bin/CMakeFiles/mysql-sniffer.dir/link.txt）
cmake ../
make
cd bin/

四、示例

4.1 实时抓取某端口信息并打印到屏幕

输出格式为：时间，访问用户，来源 IP，访问 Database，命令耗时，返回数据行数，执行语句。

mysql-sniffer -i eth0 -p 3306
2017-02-23 14:47:45  testuser    10.xx.xx.xx     NULL             0ms             1  select @@version_comment limit 1
2017-02-23 14:47:45  testuser    10.xx.xx.xx     NULL             0ms             1  select USER()
2017-02-23 14:47:48  testuser    10.xx.xx.xx     NULL             0ms            13  show databases
2017-02-23 14:47:51  testuser    10.xx.xx.xx     NULL             0ms             1  SELECT DATABASE()
2017-02-23 14:47:51  testuser    10.xx.xx.xx     mysql            0ms             0  use mysql
2017-02-23 14:47:53  testuser    10.xx.xx.xx     mysql            0ms            29  show tables
2017-02-23 14:47:54  testuser    10.xx.xx.xx     mysql            0ms             1  select 1
2017-02-23 14:48:01  testuser1   10.xx.xx.xx     NULL             0ms             0  set autocommit=1
2017-02-23 14:48:01  testuser1   10.xx.xx.xx     NULL             0ms             0  set autocommit=1

4.2 实时抓取某端口信息并打印到文件

-l 指定日志输出路径，日志文件将以 port.log 命名。

mysql-sniffer -i eth0 -p 3306 -l /tmp

4.3 实时抓取多个端口信息并打印到文件

-l 指定日志输出路径，-p 指定需要抓取的端口列表逗号分割。日志文件将以各自 port.log 命名。

mysql-sniffer -i eth0 -p 3306,3307,3310 -l /tmp

五、问题

• 有lvs环境下，如果client IP是保存在在每个连接阶段的tcp opt字段中，那么mysql-sniffer提取的真实的client IP而不是lvs的IP。
• 只能抓取新建的链接，如果是之前创建的链接将获取不到用户名和库名，并有一定几率丢包。