作為Oracle DBA 我們有時候需要追蹤數據誤刪除或用戶的惡意操作情況 此時我們不僅需要查出執行這些操作的數據庫賬號 還需要知道操作是由哪臺客戶端(IP地址等)發出的 針對這些問題 一個最有效實用而又低成本的方法就是分析Oracle數據庫的日志文件 本文將就Oracle日志分析技術做深入探討 一 如何分析即LogMiner解釋 從目前來看 分析Oracle日志的唯一方法就是使用Oracle公司提供的LogMiner來進行 Oracle數據庫的所有更改都記錄在日志中 但是原始的日志信息我們根本無法看懂 而LogMiner就是讓我們看懂日志信息的工具 從這一點上看 它和tkprof差不多 一個是用來分析日志信息 一個則是格式化跟蹤文件 通過對日志的分析我們可以實現下面的目的 查明數據庫的邏輯更改 偵察并更正用戶的誤操作 執行事后審計 執行變化分析 不僅如此 日志中記錄的信息還包括 數據庫的更改歷史 更改類型(INSERT UPDATE DELETE DDL等) 更改對應的SCN號 以及執行這些操作的用戶信息等 LogMiner在分析日志時 將重構等價的SQL語句和UNDO語句(分別記錄在V$LOGMNR_CONTENTS視圖的SQL_REDO和SQL_UNDO中) 這里需要注意的是等價語句 而并非原始SQL語句 例如 我們最初執行的是 delete a where c cyx ; 而LogMiner重構的是等價的 條DELETE語句 所以我們應該意識到V$LOGMNR_CONTENTS視圖中顯示的并非是原版的現實 從數據庫角度來講這是很容易理解的 它記錄的是元操作 因為同樣是 delete a where c cyx ; 語句 在不同的環境中 實際刪除的記錄數可能各不相同 因此記錄這樣的語句實際上并沒有什么實際意義 LogMiner重構的是在實際情況下轉化成元操作的多個單條語句 另外由于Oracle重做日志中記錄的并非原始的對象(如表以及其中的列)名稱 而只是它們在Oracle數據庫中的內部編號(對于表來說是它們在數據庫中的對象ID 而對于表中的列來說 對應的則是該列在表中的排列序號 COL COL 等) 因此為了使LogMiner重構出的SQL語句易于識別 我們需要將這些編號轉化成相應的名稱 這就需要用到數據字典(也就說LogMiner本身是可以不用數據字典的 詳見下面的分析過程) LogMiner利用DBMS_LOGMNR_D BUILD()過程來提取數據字典信息 LogMiner包含兩個PL/SQL包和幾個視圖 dbms_logmnr_d包 這個包只包括一個用于提取數據字典信息的過程 即dbms_logmnr_d build()過程 dbms_logmnr包 它有三個過程 add_logfile(name varchar options number) 用來添加/刪除用于分析的日志文件 start_logmnr(start_scn number end_scn number start_time number end_time number dictfilename varchar options number) 用來開啟日志分析 同時確定分析的時間/SCN窗口以及確認是否使用提取出來的數據字典信息 end_logmnr() 用來終止分析會話 它將回收LogMiner所占用的內存 與LogMiner相關的數據字典 v$logmnr_dictionary LogMiner可能使用的數據字典信息 因logmnr可以有多個字典文件 該視圖用于顯示這方面信息 v$logmnr_parameters 當前LogMiner所設定的參數信息 v$logmnr_logs 當前用于分析的日志列表 v$logmnr_contents 日志分析結果 二 Oracle i LogMiner的增強 支持更多數據/存儲類型 鏈接/遷移行 CLUSTER表操作 DIRECT PATH插入以及DDL操作 在V$LOGMNR_CONTENTS的SQL_REDO中可以看到DDL操作的原句(CREATE USER除外 其中的密碼將以加密的形式出現 而不是原始密碼) 如果TX_AUDITING初始化參數設為TRUE 則所有操作的數據庫賬號將被記錄 提取和使用數據字典的選項 現在數據字典不僅可以提取到一個外部文件中 還可以直接提取到重做日志流中 它在日志流中提供了操作當時的數據字典快照 這樣就可以實現離線分析 允許對DML操作按事務進行分組 可以在START_LOGMNR()中設置MITTED_DATA_ONLY選項 實現對DML操作的分組 這樣將按SCN的順序返回已經提交的事務 支持SCHEMA的變化 在數據庫打開的狀態下 如果使用了LogMiner的DDL_DICT_TRACKING選項 Oracle i的LogMiner將自動對比最初的日志流和當前系統的數據字典 并返回正確的DDL語句 并且會自動偵察并標記當前數據字典和最初日志流之間的差別 這樣即使最初日志流中所涉及的表已經被更改或者根本已經不存在 LogMiner同樣會返回正確的DDL語句 在日志中記錄更多列信息的能力 例如對于UPDATE操作不僅會記錄被更新行的情況 還可以捕捉更多前影信息 支持基于數值的查詢 Oracle i LogMiner在支持原有基于元數據(操作 對象等)查詢的基礎上 開始支持基于實際涉及到的數據的查詢 例如涉及一個工資表 現在我們可以很容易地查出員工工資由 變成 的原始更新語句 而在之前我們只能選出所有的更新語句 三 Oracle i/ i的日志分析過程 LogMiner只要在實例起來的情況下都可以運行 LogMiner使用一個字典文件來實現Oracle內部對象名稱的轉換 如果沒有這個字典文件 則直接顯示內部對象編號 例如我們執行下面的語句 delete from C A where C = gototop and ROWID = AAABg AAFAAABQaAAH ;如果沒有字典文件 LogMiner分析出來的結果將是 delete from UNKNOWN OBJ# where COL = HEXTORAW( d a d ae ) and ROWID = AAABg AAFAAABQaAAH ; 如果想要使用字典文件 數據庫至少應該出于MOUNT狀態 然后執行dbms_logmnr_d build過程將數據字典信息提取到一個外部文件中 下面是具體分析步驟 確認設置了初始化參數 UTL_FILE_DIR 并確認Oracle對改目錄擁有讀寫權限 然后啟動實例 示例中UTL_FILE_DIR參數如下 SQL show parameter utlNAME TYPEvalue utl_file_dir string /data /cyx/logmnr 這個目錄主要用于存放dbms_logmnr_d build過程所產生的字典信息文件 如果不用這個 則可以不設 也就跳過下面一步 生成字典信息文件 exec dbms_logmnr_d build(dictionary_filename = dic ora dictionary_location = /data /cyx/logmnr ); 其中dictionary_location指的是字典信息文件的存放位置 它必須完全匹配UTL_FILE_DIR的值 例如 假設UTL_FILE_DIR=/data /cyx/logmnr/ 則上面這條語句會出錯 只因為UTL_FILE_DIR后面多了一個 / 而在很多其它地方對這一 / 是不敏感的 dictionary_filename指的是放于字典信息文件的名字 可以任意取 當然我們也可以不明確寫出這兩個選項 即寫成 exec dbms_logmnr_d build( dic ora /data /cyx/logmnr ); 如果你第一步的參數沒有設 而直接開始這一步 Oracle會報下面的錯誤 ERROR at line :ORA : initialization parameter utl_file_dir is not setORA : at SYS DBMS_LOGMNR_D line ORA : at SYS DBMS_LOGMNR_D line ORA : at line 需要注意的是 在oracle for Windows版中會出現以下錯誤 : : SQL execute dbms_logmnr_d build( oradict ora c:\oracle\admin\ora\log );BEGIN dbms_logmnr_d build( oradict ora c:\oracle\admin\ora\log ); END;*ERROR at line :ORA : Subscript outside of limitORA : at SYS DBMS_LOGMNR_D line ORA : at line 解決辦法 編輯 $ORACLE_HOME/rdbms/admindbmslmd sql 文件 把其中的TYPE col_desc_array IS VARRAY( ) OF col_description;改成 TYPE col_desc_array IS VARRAY( ) OF col_description; 保存文件 然后執行一遍這個腳本 : : SQL @c:\oracle\ora \rdbms\admin\dbmslmd sqlPackage created Package body created No errors Grant succeeded 然后重新編譯DBMS_LOGMNR_D包 : : SQL alter package DBMS_LOGMNR_D pile body;Package body altered 之后重新執行dbms_logmnr_d build即可 : : SQL execute dbms_logmnr_d build( oradict ora c:\oracle\admin\ora\log );PL/SQL procedure successfully pleted 添加需要分析的日志文件 SQLexec dbms_logmnr add_logfile( logfilename= /data /cyx/rac arch/arch_ _ arc options=dbms_logmnr new);PL/SQL procedure successfully pleted 這里的options選項有三個參數可以用 NEW 表示創建一個新的日志文件列表 ADDFILE 表示向這個列表中添加日志文件 如下面的例子 REMOV lishixinzhi/Article/program/Oracle/201311/18949
目前創新互聯已為千余家的企業提供了網站建設、域名、網絡空間、綿陽服務器托管、企業網站設計、庫倫網站維護等服務,公司將堅持客戶導向、應用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協力一起成長,共同發展。
四 如何利用LogMiner分析Oracle 的日志文件 雖然說LogMiner是Oracle i才推出來 但我們同樣可以用它來分析Oracle 的日志文件 只不過稍微麻煩了一點 并且有一定的限制 下面是具體做法 我們首先復制Oracle i的$ORACLE_HOME/rdbms/admin/dbmslmd sql腳本到Oracle 數據庫所在主機的同樣目錄 這個腳本用于創建dbms_logmnr_d包(注意 Oracle i中還將創建dbms_logmnr包) 如果是 腳本名字為dbmslogmnrd sql 然后在Oracle 的數據庫上運行這個腳本 之后使用dbms_logmnr_d build過程創建字典信息文件 現在我們就可以把Oracle 的歸檔日志連同這個字典信息文件復制到Oracle i數據庫所在的主機上 之后在Oracle i數據庫中從上面分析過程的第三步開始分析Oracle 的日志 不過 dbms_logmnr start_logmnr()中使用的是Oracle 的字典信息文件 按照我前面所說的那樣 如果不是字典文件 我們則可以直接將Oracle 的歸檔日志復制到Oracle i數據庫所在主機 然后對它進行分析 其實這里涉及到了一個跨平臺使用LogMiner的問題 筆者做過試驗 也可以在Oracle i中來分析Oracle i的日志 但這些都是有所限制的 主要表現在 LogMiner所使用的字典文件必須和所分析的日志文件是同一個數據庫所產生的 并且該數據庫的字符集應和執行LogMiner數據庫的相同 這很好理解 如果不是同一個數據庫所產生就不存在對應關系了 生成日志的數據庫硬件平臺和執行LogMiner數據庫的硬件平臺要求一致 操作系統版本可以不一致 筆者做試驗時(如果讀者有興趣可以到我網站上下載試驗全過程 因為太長就不放在這里了) 所用的兩個數據庫操作系統都是Tru UNIX 但一個是 V A 另一個則是V F 如果操作系統不一致則會出現下面的錯誤 ORA : file /data /cyx/logmnr/arch_ _ arc cannot be openedORA : cannot open archived log /data /cyx/logmnr/arch_ _ arc ORA : skgfifi: file header information is invalidORA : at SYS DBMS_LOGMNR line ORA : at line 五 分析v$logmnr_contents 前面我們已經知道了LogMiner的分析結果是放在v$logmnr_contents中 這里面有很多信息 我們可以根據需要追蹤我們感興趣的信息 那么我們通常感興趣的有哪些呢? 追蹤數據庫結構變化情況 即DDL操作 如前所述 這個只有Oracle i才支持 SQL select timestamp sql_redo from v$logmnr_contents where upper(sql_redo) like %CREATE% ;TIMESTAMP SQL_REDO : : create table t (c number); 追蹤用戶誤操作或惡意操作 例如我們現實中有這樣需求 有一次我們發現一位員工通過程序修改了業務數據庫信息 把部分電話的收費類型改成免費了 現在就要求我們從數據庫中查出到底是誰干的這件事?怎么查?LogMiner提供了我們分析日志文件的手段 其中v$logmnr_contents的SESSION_INFO列包含了下面的信息 login_username=NEW_ client_info= OS_username=oracle Machine_name=phoenix OS_terminal=ttyp OS_process_id= OS_program name=sqlplus@phoenix (TNS V V ) 雖然其中信息已經很多了 但在我們的業務數據庫中 程序是通過相同的login_username登錄數據庫的 這樣單從上面的信息是很難判斷的 不過我們注意到 因為公司應用服務器不是每個人都有權限在上面寫程序的 一般惡意程序都是直接通過他自己的PC連到數據庫的 這就需要一個準確的定位 IP追蹤是我們首先想到的 并且也滿足我們的實際要求 因為公司內部IP地址分配是統一管理的 能追蹤到IP地址我們就可以準確定位了 但從面的SESSION_INFO中我們并不能直接看到IP 不過我們還是有辦法的 因為這個SESSION_INFO里面的內容其實是日志從V$SESSION視圖里提取的 我們可以在生產數據庫中創建一個追蹤客戶端IP地址的觸發器 create or replace trigger on_logon_triggerafter logon on databasebegin dbms_application_info set_client_info(sys_context( userenv ip_address ));end;/現在 我們就可以在V$SESSION視圖的CLIENT_INFO列中看到新登錄的客戶端IP地址了 那么上面的提出的問題就可以迎刃而解了 假如被更新的表名為HMLX 我們就可以通過下面的SQL來找到所需信息 SQL select session_info sql_redo from v$logmnr_contents where upper(operation) = UPDATE and upper(sql_redo) like %HMLX% /SESSION_INFO SQL_REDO login_username=C client_info= OS_username=sz xjs chengyx Machine_name=GDTEL\SZ XJS CHENGYXupdate C HMLX set NAME = free where NAME = and ROWID = AAABhTAAFAAABRaAAE ; lishixinzhi/Article/program/Oracle/201311/17810
1、因為oracle運行在Linux系統下,首先,要連接Linux系統。
2、切換到oracle安裝用戶下。 我的用戶是 oracle。
3、運行oracle的環境變量,在oracle 的根目錄下面,運行 soruce .bash_prfile 命令, 以便 ? ? ? ?輸入相關命令。
4、運行命令: cd $ORACLE_HOME 進入oracle的安裝目錄。
5、在此輸入命令: find -name listener.log ,查找監控日志文件。
6、運行命令 cd ?到查看到的日志文件目錄。
7、運行cat listener.log命令 查看日志文件。
logminer作為相關的日志分析工具集成與oracle中,我們可通過該工具清楚的分析重做相關日志和歸檔日志中的所有事物變化,并且可以準確的確定各種DML和DDL操作的具體時間和SCN值。
通過logminer我們可以實現:
1,確定數據的邏輯損壞的時間
2,跟蹤用戶執行的事務變化操作
3,跟蹤表的DML操作
如果我們要分析歸檔日志,我們首先修改oracle歸檔日志的模式,我們要把默認的歸檔路徑改成我們自己的路徑:
start mount;
alter database archivelog;
alter database open;
alter system set log_archive_dest_1='location=d:\oracle' scope=spfile;
alter system set log_archive_format='arch_%t_%s_%r.trc' scope=spfile;
查看我們修改過的歸檔路徑:
archive log list;
查看歸檔日志:
select name,dest_id from v$archived_log;
如果查詢的沒有更改,我們需要重啟一下數據庫
安裝logminer,安裝logminer需要我們安裝下面的幾個包:
$ORACLE_HOME/rdbms/admin/dbmslm.sql
$ORACLE_HOME/rdbms/admin/dbmslmd.sql
$ORACLE_HOME/rdbms/admin/dbmslms.sql
這幾個腳本必須是sys用戶運行
@$ORACLE_HOME/rdbms/admin/dbmslm.sql
@$ORACLE_HOME/rdbms/admin/dbmslmd.sql
@$ORACLE_HOME/rdbms/admin/dbmslms.sql
添加數據字典,需要添加參數utl_file_dir,
alter system set utl_file_dir='/home/oracle/dir' scope=spfile;
添加supplement logging
首先查看
select name,supplemental_log_data_min from v$database;是否是yes
YES為打開狀態,會記錄session_info,username等信息
NO為關閉狀態,不會記錄sesion_info,username等信息
添加
alter database add supplemental log data;
關閉
alter database drop supplemental log data;
重啟數據庫,這樣我們剛才的兩個參數就會生效;
查看數據字典:
show parameter utl;
添加數據字典:
SQL begin
2 dbms_logmnr_d.build(
3 dictionary_filename='logminer_dict.dat',
4 dictionary_location='/home/oracle/logminer');
5 end;
6 /
PL/SQL procedure successfully completed.
或是:
execute dbms_logmnr_d.build(dictionary_filename='logminer_dict.dat',dictionary_location='/home/oracle/logminer');
創建登錄觸發器:
SQL create or replace trigger on_logon_tigger
2 after logon on database
3 begin
4 dbms_application_info.set_client_info(sys_context('userenv','ip_address'));
5 end;
6 /
Trigger created.
我們就可以在V$SESSION視圖的CLIENT_INFO列中看到新登錄的客戶端IP地址了。那么現在就可以在
添加要分析的歸檔日志文件
SQL begin
2 dbms_logmnr.add_logfile(
3 logfilename='/home/oracle/arch/arch_6_758944049_1.trc',options=dbms_logmnr.new);
4 end;
5 /
PL/SQL procedure successfully completed.
SQL begin
2 dbms_logmnr.add_logfile(
3 logfilename='/home/oracle/arch/arch_7_758944049_1.trc',
4 options=dbms_logmnr.addfile);
5 end;
6 /
PL/SQL procedure successfully completed.
切換歸檔日志:
alter system switch logfile;
開啟分析:
execute dmbs_logmnr.start_logmnr(dictfilename='/home/oracle/logminer/logminer_dict.dat');
或是:
execute dbms_logmnr.start_logmnr;
查詢歸檔日志:
SQL select name from v$archived_log;
NAME
--------------------------------------------------------------------------------
/home/oracle/arch/arch_6_758944049_1.trc
/home/oracle/arch/arch_7_758944049_1.trc
/home/oracle/arch/arch_8_758944049_1.trc
為了節約pga的空間,當我們分析完日志后,移除不需要的日志:
SQL begin
2 dbms_logmnr.add_logfile(
3 logfilename='/home/oracle/arch/arch_7_758944049_1.trc',
4 options=dbms_logmnr.removefile);
5 end;
6 /
PL/SQL procedure successfully completed.
查詢結果在v$logmnr_contents;
查詢數據庫上面的操作
select scn,sql_redo,timestamp from v$logmnr.contents;
關閉分析
execute dbms_logmnr.stop_logmnr;
查詢的時候最好使用plsql查詢。
使用job的所有者賬號登陸,通過查詢user_jobs視圖查看;
我一般只關注三個字段;
LAST_DATE:最后次運行時間;
NEXT_DATE:下次運行時間;
TOTAL_TIME:總用時。具體語句如下:select s.LAST_DATE,s.NEXT_DATE,s.TOTAL_TIME from user_jobss。
日志
日志,是一個漢語詞匯,漢語拼音是rì zhì。基本字義是指工作日志。日志主要發表在網絡,詳細介紹一個過程和經歷的記錄。
環境:
AIX6.1
Oracle 11g RAC
故障:
數據庫頻繁出現歸檔日志空間不夠,導致數據庫無法登陸的故障。一查發現原因是歸檔日志切換頻繁,操作系統空間不夠。
確定原因:
[aix01@oracle]/oracledf -g
Filesystem GB blocks Free %Used Iused %Iused Mounted on
/dev/hd4 0.50 0.28 44% 13674 17% /
/dev/hd2 3.00 0.67 78% 49208 23% /usr
/dev/hd9var 1.00 0.37 63% 9285 10% /var
/dev/hd3 2.00 1.03 49% 2407 1% /tmp
/dev/fwdump 1.00 0.99 2% 30 1% /var/adm/ras/platform
/dev/hd1 0.25 0.18 28% 465 2% /home
/dev/hd11admin 0.25 0.25 1% 5 1% /admin
/proc - - - - - /proc
/dev/hd10opt 0.50 0.28 44% 10241 14% /opt
/dev/livedump 0.25 0.25 1% 12 1% /var/adm/ras/livedump
/dev/oraclelv 30.00 11.29 63% 161681 6% /oracle
/dev/installlv 15.00 3.38 78% 6478 1% /install
/dev/crslv 10.00 3.35 67% 7807 1% /crs
/dev/wmsapplv 30.00 17.49 42% 15537 1% /wmprod
/dev/archivelv 29.25 29.25 1% 4 1% /arch1
/dev/backuplv 400.00 107.13 74% 306 1% /sysbackup
aix02:arch2 30.25 0.64 99% 3 1% /arch2
可以看到,/arch2里文件系統空間已經達到99%,/arch2是用來存放歸檔日志的文件系統,進而導致數據庫出錯。
提出問題:
這下問題來了,/arch2的空間是30G,每天備份腳本都會自動rman備份歸檔日志,并自動清除歸檔日志文件,按照正常情況下,數據庫不可能一天產生這么大的歸檔日志量。
如何查詢歸檔日志都是由什么應用產生的,這就是logminer的用途。
使用方法:
-- 1.指定要分析的日志文件
exec sys.dbms_logmnr.add_logfile(logfilename = '/arch2/2_825_733092736.dbf',options = dbms_logmnr.new);
-- 2.使用本地的在線數據字典分析歸檔日志
exec sys.dbms_logmnr.start_logmnr(options = sys.dbms_logmnr.dict_from_online_catalog);
-- 3.查詢分析出來的歸檔日志內容,例如統計最大修改量的Schema
select seg_owner,count(*) from v$logmnr_contents group by seg_owner;
-- 4.增加別的日志文件
exec sys.dbms_logmnr.add_logfile(logfilename='/arch2/2_825_733092736.dbf');
-- 5.結束分析歸檔日志
exec sys.dbms_logmnr.end_logmnr;
下面是具體的過程:
SQL exec sys.dbms_logmnr.add_logfile(logfilename = '/arch2/2_825_733092736.dbf',options = dbms_logmnr.new);
PL/SQL procedure successfully completed
SQL exec sys.dbms_logmnr.start_logmnr(options = sys.dbms_logmnr.dict_from_online_catalog);
PL/SQL procedure successfully completed
SQL select seg_owner,count(*) from v$logmnr_contents group by seg_owner;
SEG_OWNER COUNT(*)
-------------------------------- ----------
2237
SYS 688
TMS 60
SPHSY 70
SINOSYNEW 30
SINOSY 381
WAS 4551934
7 rows selected
SQL execute dbms_logmnr.end_logmnr ;
PL/SQL procedure successfully completed
結論:
從上面查詢結果可以看出操作量最大的用戶是WAS用戶,再具體看下v$logmnr_contents可以發現基本修改的內容是一致的。
與開發人員溝通后,最終確認是一個執行update過程存在問題,where條件未正確定位到記錄,每執行一次都會導致大規模的修改數據。
名稱欄目:如何分析oracle日志 oracle的log日志
瀏覽地址:http://m.newbst.com/article4/hjhsoe.html
成都網站建設公司_創新互聯,為您提供Google、外貿建站、ChatGPT、云服務器、建站公司、標簽優化
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯