tcpdump来抓取执行的sql语句

# tcpdump -n -nn -tttt -i eth1 -s 65535 'port 3306' -w tcpdump_mysql.ret -C 100

一个TCP包中包含多个mysql协议包，一个协议包就是一条mysql记录。

使用抓包工具开打tcpdump_mysql.ret 文件

使用tcpdump来抓取执行的sql语句。

# tcpdump -i eth1 -s 0 -l -w - dst  port 3306 | strings

$sudo tcpdump -i eth0 -A -s 3000 port 3306 > ~/sql.log

考：http://www.davidodwyer.com/category/tags/tcpdump-mysql

#!/bin/bash
tcpdump -i eth0 -s 0 -l -w – dst port 3306 | strings | perl -e ‘
while(<>) { chomp; next if /^[^ ]+[ ]*$/;
if(/^(SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL)/i) {
if (defined $q) { print “$q\n”; }
$q=$_;
} else {
$_ =~ s/^[ \t]+//; $q.=” $_”;
}
}’

可以根据自己的需要稍微改改，我在这里只增加了对 CALL 关键字。

保存在tcpdump.sh脚本中

tcpdump -i eth0 -s 0 -l -w out.log port 3306 | strings | perl -e '
#!/bin/bash
while(<>) { chomp; next if /^[^ ]+[ ]*$/;
if(/^(SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL)/i) {
if (defined $q) { print "$q/n" ; }
$q=$_;
} else {
$_ =~ s/^[ /t]+//; $q.=" $_" ;
}
}'