Eu tenho o servidor mysql.
O servidor é acessado pelo meu aplicativo e pelo auditor externo (pessoa usando o mysql workbench). O auditor tem usuário e senha específicos e IP dedicado e é concedido apenas para privilégios selecionados.
Eu preciso registrar as atividades do auditor.
Li questões semelhantes aqui no serverfault, mas não vi nenhuma resposta aceitável de que é possível fazer o sql logging pelo sql server apenas para um usuário específico.
Mas é possível e como registrar os pacotes de rede do IP do auditor, mas apenas o texto (as consultas), não os pacotes completos?
Quaisquer outras soluções, como posso monitorar o que o auditor estava fazendo no servidor?
But is it possible and how, to log the network packages from the auditors IP, but only the text (the queries), not the complete packages?
Sim, é possível:
tcpdump -s0 -i eth0 src host auditors.ip and dst port 3306 -w mysql.pcap
então você pode filtrar apenas as consultas do MySQL rodando:
while read stream; do \
tshark -qz follow,tcp,ascii,$stream -r mysql.pcap; done \
< <(tshark -R "mysql" -T fields -e tcp.stream -r mysql.pcap | sort | uniq)
Tags mysql monitoring wireshark logging audit