来源:网海拾贝
四、如何利用LogMiner阐明Oracle8的日志文件
固然说LogMiner是Oracle8i才推出来,但我们异样可以用它来阐明Oracle8的日志文件,只不外稍微费事了一点,并且有一定的限定,上面是注意做法:
我们起首复制Oracle8i的$ORACLE_HOME/rdbms/admin/dbmslmd.sql脚本到Oracle8数据库地址主机的异样目录;这个脚本用于创设dbms_logmnr_d包(注重,Oracle9i中还将创设dbms_logmnr包),假设是8.1.5脚本名字为dbmslogmnrd.sql。然后在Oracle8的数据库上运转这个脚本,之后操纵dbms_logmnr_d.build进程创设字典信息文件。目下当今我们就可以把Oracle8的归档日志连同这个字典信息文件复制到Oracle8i数据库地址的主机上,之后在Oracle8i数据库中从上面阐明进程的第三步初阶阐明Oracle8的日志,不外
dbms_logmnr.start_logmnr()中操纵的是Oracle8的字典信息文件。
依照我前面所说的那样,假设不是字典文件,我们则可以直接将Oracle8的归档日志复制到Oracle8i数据库地址主机,然后对它停止阐明。
真实这里触及到了一个跨平台操纵LogMiner的成绩,笔者做过实验,也可以在Oracle9i中来阐明Oracle8i的日志。但这些都是有所限定的,次要表目下当今:
1、LogMiner所操纵的字典文件必须和所阐明的日志文件是同一个数据库所产生的,并且该数据库的字符集应和实验LogMiner数据库的沟通。这很好分明,假设不是同一个数据库所产生就不存在对应干系了。
2、生成日志的数据库硬件平台和实验LogMiner数据库的硬件平台要求不合,操纵体系版本可以不不合。笔者做实验时(假设读者有兴味可以到我网站http://www.ncn.cn上下载实验全进程,由于太长就不放在这里了),所用的两个数据库操纵体系都是Tru64 UNIX,但一个是 V5.1A,另一个则是V4.0F。假设操纵体系不不合则会出现上面的错误:
ORA-01284: file /data6/cyx/logmnr/arch_1_163570.arc cannot be opened ORA-00308: cannot open archived log '/data6/cyx/logmnr/arch_1_163570.arc' ORA-27048: skgfifi: file header information is invalid ORA-06512: at "SYS.DBMS_LOGMNR", line 63 ORA-06512: at line 1
五、阐明v$logmnr_contents
前面我们曾经知道了LogMiner的阐明下场是放在v$logmnr_contents中,这外面有良多信息,我们可以依据需求追踪我们感兴味的信息。那么我们伟年夜感兴味的有哪些呢?
1、追踪数据库组织改动形态,即DDL操纵,如前所述,这个只需Oracle9i才撑持:
SQL> select timestamp,sql_redo from v$logmnr_contents2 where upper(sql_redo) like '%CREATE%'; TIMESTAMP ------------------- SQL_REDO ------------------------- 2003-09-21 10:01:55 create table t (c1 number);
2、追踪用户误操纵或恶意操纵:
好比我们幻想中有这样需求,有一次我们发现一位员工经过议定法度改削了营业数据库信息,把部门德律风的免费典范典范改成免费了,目下当今就要求我们从数据库中查出究竟是谁干的这件事?如何查?LogMiner供给了我们说嫡志文件的才具,个中v$logmnr_contents的SESSION_INFO列包罗了上面的信息:
login_username=NEW_97 client_info= OS_username=oracle8 Machine_name=phoenix1 OS_terminal=ttyp3 OS_process_id=8004 OS_program name=sqlplus@phoenix1 (TNS V1-V3)
固然个中信息曾经良多了,但在我们的营业数据库中,法度是经过议定沟通的login_username登录数据库的,这样单从上面的信息是很难鉴此外。
不外我们注重到,由于公司操纵效劳器不是每小我公众都有权限鄙人面写法度的,浅显恶意法度都是直接经过议定他自己的PC连到数据库的,这就需求一个准确的定位。IP追踪是我们起首想到的,并且也合意我们的理论要求,由于公司内部IP地址分配是同一经管的,能追踪到IP地址我们就可以准确定位了。但从面的SESSION_INFO中我们并不克不及直接看到IP,不外我们照样有办法的,由于这个SESSION_INFO外面的内容真实这天志从V$SESSION视图里提取的,我们可以在分娩数据库中创设一个追踪客户端IP地址的触发器:
create or replace trigger on_logon_trigger after logon on database begin dbms_application_info.set_client_info(sys_context('userenv', 'ip_address')); end; /
目下当今,我们就可以在V$SESSION视图的CLIENT_INFO列中看到新登录的客户端IP地址了。那么上面的提出的成绩就可以水到渠成了。假设被更新的表名为HMLX,我们就可以经过议定上面的SQL来找到所需信息:
SQL > select session_info ,sql_redo from v$logmnr_contents 2 where upper(operation) = 'UPDATE' and upper(sql_redo) like '%HMLX%' 3 / SESSION_INFO ----------------------------------------- SQL_REDO ----------------------------------------- login_username=C client_info=10.16.98.26 OS_username=sz-xjs-chengyx Machine_name =GDTELSZ-XJS-CHENGYX update "C"."HMLX" set "NAME" = 'free' where "NAME" = 'ncn.cn' and ROWID = 'AAABhTAA FAAABRaAAE';
版权声明: 原创作品,允诺转载,转载时请务必以超链接体式花腔标明文章 原始来因 、作者信息和本声明。不然将清查执法责任。