重要数据丢失？如何根据指定条件在 Linux 系统中查看 MySQL 的二进制日志文件找回丢失的数据？

最近发生了一件大事，老板火急火燎的找到我，说某些用户的数据不对，是不是跳过了客户端验证，直接提交到服务器？

经过一番排查，果真是服务器端没加验证导致。这些数据需要恢复，怎么恢复呢？

从项目日志中找到一些丢失的数据，但还有一些数据找不到，这可如何是好？此时，我想到了MySQL的二进制文件。

查看二进制文件，我也是头一次，万事开头难。

MySQL的二进制文件很多，一个文件很大，查看一个完整的大文件很容易卡住不动，需要哪些指令，加什么条件，我还是把这个过程记录一下吧。

一、MySQL的二进制文件是什么？

对于一些朋友来说，MySQL 的二进制日志文件有些陌生。

MySQL 的二进制日志文件（Binary Log）是一个非常重要的日志文件，它记录了所有对数据库的更改操作。

具体来说，它会记录：

插入操作（INSERT）

更新操作（UPDATE）

删除操作（DELETE）

数据库结构的改变（如 ALTER、DROP 等）

查看这些日志对于数据恢复、故障排查和数据库的审计等都非常有用。

二、查看MySQL的二进制文件能做什么？

有时候，我们需要查看这些日志文件来：

1、恢复数据

如果数据库出现了问题，需要恢复某些数据或者操作，可以通过查看二进制日志找到具体操作并恢复数据。

2、故障排查

如果数据库出现异常，通过二进制日志可以了解在某个时间点做了什么操作，帮助定位问题。

3、审计和监控：

我们可以查看日志记录，了解谁在什么时间做了哪些操作，确保数据操作符合规定。

三、如何找到 MySQL 的二进制日志文件

首先，我们要知道 MySQL 的二进制日志文件存放在哪个位置。

默认情况下，MySQL 的二进制日志文件一般存放在/var/lib/mysql/目录下，文件名通常是mysql-bin.XXXXXX这样的格式。

步骤 1：登录到 MySQL 数据库

先通过终端（Terminal）登录到 MySQL 数据库：

mysql -u root -p

输入密码后，我们就进入了 MySQL 的命令行界面。

然后，查看当前的二进制日志文件配置：

SHOW VARIABLES LIKE 'log_bin';

如果输出是ON，说明 MySQL 正在启用二进制日志。

步骤 2：查找二进制日志文件的位置

我们可以使用以下命令查看二进制日志文件的当前路径：

SHOW VARIABLES LIKE 'log_bin_basename';

这个命令会告诉我们二进制日志文件存放的目录和文件名前缀。

例如，输出可能是/var/lib/mysql/mysql-bin。

当然，还可以使用模糊查询：

SHOW VARIABLES LIKE 'log_bin%';

这将返回二进制日志的文件名和位置，通常类似于 mysql-bin.000001这样的文件名。

步骤 3：查看已生成的日志文件

二进制日志的文件名通常是mysql-bin.000001、mysql-bin.000002这样的形式。

我们可以使用命令行工具（比如ls）查看这个目录下的文件：

ls /var/lib/mysql/

这样，我们就能看到所有的二进制日志文件了。

四、如何查看 MySQL 的二进制日志文件

二进制日志文件不是普通的文本文件，所以我们不能直接用cat或less等命令来查看。

我们需要使用 MySQL 提供的一个工具，叫做mysqlbinlog。

1、使用 mysqlbinlog 查看日志

假设我们的二进制日志文件是mysql-bin.000001，我们可以使用以下命令来查看这个日志文件的内容：

mysqlbinlog /var/lib/mysql/mysql-bin.000001

这样会输出该文件中的所有 SQL 操作记录，包括插入、更新、删除等操作。

如果文件太大，就不适合使用这个命令。

2、筛选出特定的 SQL 语句

二进制日志可能包含很多操作，如果我们只关心特定的操作（例如INSERT操作），我们可以使用grep命令来筛选。

例如，查看所有的INSERT语句，可以执行：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | grep -i "INSERT"

这个命令会过滤掉其他内容，只显示INSERT相关的日志。

mysqlbinlog 工具本身并不直接提供按事件类型（如 INSERT、UPDATE、DELETE）过滤日志的功能。但我们可以使用 grep 等工具来过滤特定类型的 SQL 语句。

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | grep "UPDATE"

如果我们只关心数据库 mydb 中的操作，可以用 grep 过滤日志中的 mydb：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | grep "mydb"

如果我们关心某个特定表（如 users 表）的修改，可以继续用 grep 来筛选表名：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | grep "users"

事件、表名组合使用：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | grep -i "INSERT INTO mydb"

3、查看多个日志文件

如果我们有多个二进制日志文件，我们可以通过使用通配符*来一次性查看所有的日志文件：

mysqlbinlog /var/lib/mysql/mysql-bin.* | grep -i "INSERT"

这样可以方便地查看所有日志文件中的INSERT操作。

如果查看其中两个文件，可以这么写：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 /var/lib/mysql/mysql-bin.000002

4、查看指定时间段的日志

如果我们只想查看某个时间段内的操作，可以使用--start-datetime和--stop-datetime参数。

例如，查看 2025 年 2 月 10 日 00:00 到 2025 年 2 月 10 日 12:00 之间的日志：

mysqlbinlog --start-datetime="2025-02-10 00:00:00" --stop-datetime="2025-02-10 12:00:00" /var/lib/mysql/mysql-bin.000001

这样，我们就能精准地筛选出指定时间段内的日志操作。

5、查看具体的行数据

如果我们的 MySQL 配置为行级日志（ROW-based），我们可能需要查看具体的行数据。

此时，我们可以使用--base64-output=DECODE-ROWS参数来解码二进制日志：

mysqlbinlog --base64-output=DECODE-ROWS /var/lib/mysql/mysql-bin.000001

这样，日志中的数据将以更容易理解的方式显示出来。

6、查看二进制日志的具体事件

可以通过 --verbose 参数来获取更详细的事件信息，或者使用 --base64-output=DECODE-ROWS 来查看被编码的数据行（适用于 UPDATE 或 DELETE 操作）。

7、按事件编号或偏移量查看二进制日志

二进制日志中的每个事件都有一个事件编号或偏移量。如果我们知道从哪个位置开始查看，可以使用 --start-position 和 --stop-position 来指定事件的位置。

例如，假设我们要从某个偏移量 500 开始查看：

mysqlbinlog --start-position=500 /var/lib/mysql/mysql-bin.000001

如果我们想查看某个特定位置到另一个位置之间的日志，可以指定 --start-position 和 --stop-position：

mysqlbinlog --start-position=500 --stop-position=1000 /var/lib/mysql/mysql-bin.0000018、查看特定格式的二进制日志

如果我们想仅查看某一特定格式的日志（例如，仅 QUERY 或 ROW 类型的事件），可以结合 --include-rows 或 --exclude-rows 参数，但这通常依赖于我们事先知道二进制日志事件的类型。

对于 mysqlbinlog 工具本身，它并不提供直接按事件类型（如 QUERY、ROW）过滤的功能。

9. 使用 mysqlbinlog 过滤日志并直接导入 MySQL

如果我们希望将筛选后的二进制日志事件直接执行到 MySQL 数据库中，可以通过管道将其传递给 MySQL：

mysqlbinlog /var/lib/mysql/mysql-bin.000001 | mysql -u root -p

这会将二进制日志中的所有事件重新执行到数据库中。

这个语句要慎用，特别是线上环境！！！

五、最后总结

通过以上步骤，我们可以在 Linux 系统中轻松查看 MySQL 的二进制日志文件，并根据需要筛选出具体的操作。

在这些操作中，按时间范围、事件编号或偏移量查看二进制日志是比较常见的做法。

虽然mysqlbinlog可以让我们查看二进制日志，但请记住，不要随意执行二进制日志文件。