Alert to screen när en inkommande anslutning vid port 3306 inträffar

Du behöver ju hämta "eventet" från något. Antingen har du något som tailar brandväggsloggen för connections mot dessa portar, eller så använder du respektive applikationslogg.

I bästa av världar använder du båda för att korrelera eventet med all nödvändig data.

Om du verkligen vill bygga något i stil med tex Little Snitch på OSX. Kolla in Ulogd 2. Den kan logga per paket och spara det i en databas.

Snyggast kanske är att använda ett redan färdigt IDS-ramverk som tex snort, men då kommer du säkert spendera mer tid konfigurera än att bara taila några loggar. Jag skulle nog i syfte av mitt eget hem göra något i stil du redan börjat med. Men rent proffessionellt så lämpar sig snort bättre.

Du behöver först och främst ta reda på vart databasen sparar sin logg, eventuellt behöver du slå igång att den ska logga inloggningar också.

När du väl får den att logga till en fil på filsystemet, så använder du tex tail -f loggfil och pipar det till grep för att bara plocka ut det data du vill ha och sedan spara undan i en variabel.

Om loggfilen roterar behöver du köra -F istället för -f.

Exempel på hur man kan använda sig av loggen /var/log/auth.log

Såhär ser 2st loggrader ut i den. Om jag då kör en tail som nedan
Mar 11 11:03:48 compose sshd[26157]: pam_unix(sshd:session): session opened for user exempel by (uid=0)
Mar 11 18:23:47 compose sshd[17116]: pam_unix(sshd:session): session opened for user sidde by (uid=0)

Kör då kommandot
tail -f /var/log/auth.log |grep --line-buffered "pam_unix(sshd:session): session opened for user" | awk '{print "Inloggning med SSH klockan "$3" med user "$11}'

Vid varje inloggning puttar den då ut nedan output på consollen:

Inloggning med SSH klockan 11:03:48 med user exempel
Inloggning med SSH klockan 18:23:47 med user sidde

Edit:
Jag antar att man bör kunna lägga på: | xargs notify-send
direkt efter raden som så skickar den detta också.

tail -f /var/log/auth.log |grep --line-buffered "pam_unix(sshd:session): session opened for user" | awk '{print "Inloggning med SSH klockan "$3" med user "$11}'

tail -f /var/log/auth.log |grep --line-buffered "pam_unix(sshd:session): session opened for user" | awk '{print "Inloggning med SSH klockan "$3" med user "$11}' | xargs notify-send

Jag som inte är van med notify-send.
Detta löser nog ditt problem, ersätt | xargs notify-send med:
| while read line; do notify-send "$line"; done

Detta är långt ifrån det mest optimerade sättet att lösa detta på, men det fungerar och bör vara good enough.

tail -f /var/log/auth.log |grep --line-buffered "pam_unix(sshd:session): session opened for user" | awk '{print "Inloggning med SSH klockan "$3" med user "$11}' | while read line; do notify-send "$line"; done

Skulle gjort det på desktopen direkt istället för att skriva det i ett shell utan X och "gissa" till mig slutresultatet. Behövde enabla ssh till den först så jag hade en logg att testa på.
Tydligen ville awk även likt grep buffra lite för mycket verkade det som.

Denna rad fungerar nu för mig att skicka ut notifering till skärmen med.

tail -f /var/log/auth.log |grep --line-buffered "pam_unix(sshd:session): session opened for user" | awk -W interactive '{print "Inloggning med SSH klockan "$3" med user "$11}' | while read line; do notify-send "$line"; done

Det är ingen bra idé för övervakning, eftersom det bara är snapshots av nuvarande läge. Den säger inte var som hänt mellan gångerna du kört detta. Däremot kan det vara som ett kompliment för att ta reda på vilken applikation som gör vad just nu.

Ska man övervaka mycket mer noggrannt så är nog ulogd som jag skrev från början mycket bättre för detta.

#!/bin/bash
netstat -tn 2>/dev/null | grep :3306 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# find  out who's IP is connected to databas

Vi har nog olika versioner av awk, jag kör mawk, därav jag har en växel du inte har.
ulogd var år och dar sedan jag senast rörde, det är inte mer komplicerat än något annat, men man måste nog labba en hel del för att få saker att fungera.

Du behöver nog se till att förändra buffer-hanteringen som är pipelining medför för att det där ska fungera.

Vill du göra det mycket enklare så kan du alltid göra detta i ett shell-script där varje stycke görs manuellt och lagras i variabler.
Att plocka ut datum och src ip därifrån är enkelt att göra med awk eller cut till exempel.
Dela upp jobbet i flera små delar, så du förstår vad varje del gör, och testa att skicka varje del direkt till notify-send. Sedan adderar du filter efter filter.

För att plocka ut datum + IP kan du göra detta med en rad såhär: awk '{print $1" "$2" " $3" - "$12}'
Men i ett script skulle jag nog göra det i 2st olika variabler istället, och tvätta det bort SRC= före IPt. Det gör du med delimeter i cut eller awk.

Detta är ett utmärkt sätt att lära sig både unix-verktyg, shellscript och applikationsloggar. Lycka till.

ett exempel på shell-script som gör samma sak.
Där "test" är filnamnet på loggen för din databas-logg,

Vi måste ha olika versioner av saker, som fungerar lite annorlunda.
Det där felet kommer från att något i meddelandet till notify-send inte har "" runt sig.
Kanske radbrytet fuckar upp något där eller liknande iofs.

Debian Stable på de senare exemplen, den första var en ubuntu lts.

Men saker kan skilja sig en del mellan versioner, sedan körde jag mitt script på ditt exempel du postade, där IP etc. var bortplockat. När du kör scriptet på din riktiga fil kanske den matchar mot saker som mitt script inte felhanterade. Var ingen felhantering alls i exempelet jag skrev. (Jag skrev det medan jag drack kaffe till lunchen...)