引子：钻研技术，发现问题

上面部分内容可以说只是一个引子，文中咱们简单提过general_log日志但并未作过多探讨。之前发过的几篇文章里或多或少有提到过MySQL取证，但未系统地介绍，说到MySQL取证，大致可以分为MySQL日志分析、MySQL数据恢复和仿真MySQL环境，其中仿真那部分我在上一篇的《大项目》里详细的提到了，这里只对日志分析和数据恢复做一番探讨和一下小小的总结。(这部分主要是让大家简单系统地了解MySQL日志的构成和相关知识，能力有限，想具体深入地分析请看文章底部的参考来源。成文匆忙，若发现纰漏请及时告知，谢谢)

我们先来探讨MySQL日志

根据我的实战经验以及网友分享的文章，MySQL的日志主要体现在记录SQL操作的general日志(注Linux下本机操作还会有.mysql_history)、变更日志binlog(主要用于备份和数据恢复)、以hostname.err格式存放的错误日志和用于优化目的的slow日志。

一、通用查询日志(generalquerylog)

通用查询日志用于记录MySQL上所有用户执行的SQL命令(但不记录返回结果)，该功能类似Linux系统下的.bash_history，无论用户执行的命令和语法是否正确都将被记录。默认情况下MySQL不会开启该功能，这是因为数据库本身就占用服务器大量的读写操作，开启后会不断进行写入操作，这将大大地增加系统开销，对企业而言这也是一个不必要的负担；但是另一方开启该功能可以方便数据库管理员审计和分析MySQL中可能存在的问题，提高服务的安全性和可靠性。

查看general_log是否开启及配置信息。执行SQL命令：showvariableswherevariable_namelike"%general_log%"orvariable_name="log_output";，意思是通过MySQL环境变量来查看general_log是否开启、日志的保存方式及位置。其中日志的存放方式分为两种(file和table)、方案分为三种(file、table和filetable)，若是file型则以文件的形式默认存放在data目录，若是table型则将所有SQL记录转存至mysql库中的general_log表中。

general_log的表结构。该表主要由6个字段构成，分别是用于记录时间的event_time、记录连接者IP和主机名的user_host、识别每次操作线程号的thread_id、区分主从(猜测)的server_id、记录操作类型的
转载请注明原文网址：http://www.helimiaopu.com/cksc/7752.html