缺点:影响mysql性能
转发型, 就是转发相关包, 并记录下来, 比如我们之前写的mysql流量镜像脚本....优点:可以只审计固定的流量(需要转发的) 缺点:延迟会增加一丢丢
旁挂型, 就是在链路旁边监控流量并做记录. 优点:不影响链路和mysql性能. 缺点:只能做记录, 无法控制连接....本文就是实现旁挂型审计
实现原理
获取mysql包 然后 解析mysql包
获取mysql包, 我们使用scapy的sniff抓包, 解析mysql包, 之前就已经做过了....我们只获取mysql客户端发给服务端的包, 所以只需要目标端口为mysql的端口即可....旁挂型审计对业务和数据库影响最小(可以说没得影响), 但是无法控制连接,也无法解析ssl, 所以使用哪种审计得结合你的实际需求来.