分析Oracle数据库日志文件(三)

日期: 2009-07-16 来源:TechTarget中国 英文

  五、分析v$logmnr_contents

  前面我们已经知道了LogMiner的分析结果是放在v$logmnr_contents中,这里面有很多信息,我们可以根据需要追踪我们感兴趣的信息。那么我们通常感兴趣的有哪些呢?

  1、追踪数据库结构变化情况,即DDL操作,如前所述,这个只有Oracle9i才支持:

  SQL> select timestamp,sql_redo from v$logmnr_contents2
  where upper(sql_redo) like ‘%CREATE%’;
  TIMESTAMP
  ——————-
  SQL_REDO
  ————————-
  2003-09-21 10:01:55
  create table t (c1 number);

  2、追踪用户误操作或恶意操作:

  例如我们现实中有这样需求,有一次我们发现一位员工通过程序修改了业务数据库信息,把部分电话的收费类型改成免费了,现在就要求我们从数据库中查出到底是谁干的这件事?怎么查?LogMiner提供了我们分析日志文件的手段,其中v$logmnr_contents的SESSION_INFO列包含了下面的信息:

  login_username=NEW_97
  client_info= OS_username=oracle8 Machine_name=phoenix1
  OS_terminal=ttyp3 OS_process_id=8004 OS_program name=sqlplus@phoenix1
  (TNS V1-V3)

  虽然其中信息已经很多了,但在我们的业务数据库中,程序是通过相同的login_username登录数据库的,这样单从上面的信息是很难判断的。

  不过我们注意到,因为公司应用服务器不是每个人都有权限在上面写程序的,一般恶意程序都是直接通过他自己的PC连到数据库的,这就需要一个准确的定位。IP追踪是我们首先想到的,并且也满足我们的实际要求,因为公司内部IP地址分配是统一管理的,能追踪到IP地址我们就可以准确定位了。但从面的SESSION_INFO中我们并不能直接看到IP,不过我们还是有办法的,因为这个SESSION_INFO里面的内容其实是日志从V$SESSION视图里提取的,我们可以在生产数据库中创建一个追踪客户端IP地址的触发器:

  create or replace trigger on_logon_trigger
  after logon on database
  begin
  dbms_application_info.set_client_info(sys_context(’userenv’, ‘ip_address’));
  end;
  /

  现在,我们就可以在V$SESSION视图的CLIENT_INFO列中看到新登录的客户端IP地址了。那么上面的提出的问题就可以迎刃而解了。假如被更新的表名为HMLX,我们就可以通过下面的SQL来找到所需信息:

  SQL > select session_info ,sql_redo from v$logmnr_contents
  2 where upper(operation) = ‘UPDATE’ and upper(sql_redo) like ‘%HMLX%’
  3 /
  SESSION_INFO
  —————————————–
  SQL_REDO
  —————————————–
  login_username=C client_info=10.16.98.26 OS_username=sz-xjs-chengyx Machine_name
  =GDTELSZ-XJS-CHENGYX
  update “C”.”HMLX” set “NAME” = ‘free’ where “NAME” = ‘ncn.cn’ and ROWID = ‘AAABhTAA
  FAAABRaAAE’;

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐