Oracle 10g Logminer 研究及测试

Oracle10gLogminer研究及测试收藏LogMiner提供了一个处理重做日志文件并将其内容翻译成代表对数据库的逻辑操作的SQL语句的过程。LogMiner运行在Oracle版本8.1或者更高版本中。一，如何使用Logminer:先要安装logminer的两个包；以SYS用户运行下面两个脚本,其中第一个脚本dbmslm.sql用来创建DBMS_LOGMNR包，该包用来分析日志文件。第二个脚本dbmslmd.sql用来创建DBMS_LOGMNR_D包，该包用来创建数据字典文件。D:\oracle\product\10.2.0\db_1\RDBMS\ADMINsqlplus/nologSQL*Plus:Release10.2.0.4.0-Productionon星期五4月1017:49:022009Copyright(c)1982,2007,Oracle.AllRightsReserved.SQLconnsys/oracleassysdba已连接。SQLSQL@dbmslm.sql程序包已创建。授权成功。SQLSQL@dbmslmd.sql程序包已创建。二，创建数据字典文件数据字典文件是一个文本文件，使用包DBMS_LOGMNR_D来创建，如果我们要分析的数据库中的表有变化(比如表结构有变化等)，影响到库的数据字典也发生变化。另外一种情况是在分析另外一个数据库文件的重做日志时，也必须要重新生成一遍被分析数据库的数据字典文件。首先需要修改参数UTL_FILE_DIR,该参数值为服务器中放置数据字典文件的目录，10g中我们通过动态修改参数的方式来修改，然后重新启动数据库生效。其中logs_utl_file目录先期建立好。SQLaltersystemsetUTL_FILE_DIR='d:\oracle\product\10.2.0\oradata\test\logs_utl_file'scope=spfile;系统已更改。SQLshutdownimmediate数据库已经关闭。已经卸载数据库。ORACLE例程已经关闭。SQLSQLstartupORACLE例程已经启动。TotalSystemGlobalArea167772160bytesFixedSize1295608bytesVariableSize125831944bytesDatabaseBuffers33554432bytesRedoBuffers7090176bytes数据库装载完毕。数据库已经打开。SQLSQLshowparameterUTL_FILENAMETYPE-------------------------------------------------VALUE------------------------------utl_file_dirstringd:\oracle\product\10.2.0\oradata\test\logs_utl_fileSQL然后创建数据字典文件：BEGINdbms_logmnr_d.build(dictionary_filename='logminer_dict.ora',dictionary_location='D:\oracle\product\10.2.0\oradata\test\logs_utl_file');END;/OK,可以看到在logs_ult_file中已经生成了logminer_dict.ora数据字典文件。数据字典文件是可以打开的文本文件。有兴趣可以打开看看。executedbms_logmnr_d.build('shwdict.ora','d:\lick');//本人使用的创建语句创建数据字典是让logminer引用实际到内部数据字典中的部分是使用对象的名称，而不是系统内部的16进制的ID.三，创建要分析的日志文件(在线日志或归档日志)的列表（1）分析在线的重做日志A。建立列表SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\test\redo01.log',ptions=dbms_logmnr.new);PL/SQL过程已成功完成。B。添加其他日至文件到列表SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\test\redo02.log',ptions=dbms_logmnr.addfile);PL/SQL过程已成功完成。SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\test\redo03.log',ptions=dbms_logmnr.addfile);PL/SQL过程已成功完成。（2）分析归档的重做日志A。建立列表SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\archive\ARC00052_0684166863.001',ptions=dbms_logmnr.new);PL/SQL过程已成功完成。B。添加其他日志文件到列表SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\archive\ARC00053_0684166863.001',ptions=dbms_logmnr.addfile);PL/SQL过程已成功完成。如果你觉得不需要分析已经在列表中的在线或归档日志，可以通过removefile命令删除：SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\archive\ARC00053_0684166863.001',ptions=dbms_logmnr.removefile);PL/SQL过程已成功完成。四，使用Logminer进行日志分析无限制条件：SQLexecutedbms_logmnr.start_logmnr(DictFileName='D:\oracle\product\10.2.0\oradata\test\logs_utl_file\logminer_dict.ora');PL/SQL过程已成功完成。有限制条件：通过对过程DBMS_LOGMNR.START_LOGMNR中的时间或者SCN参数的设置，可以缩小分析日志文件的范围：如我们仅仅分析2009年2月23日到2005年7月26日的日志：SQLexecutedbms_logmnr.start_logmnr(DictFileName='D:\oracle\product\10.2.0\oradata\test\logs_utl_file\logminer_dict.ora',StartTime=to_date('2009-2-2300:00:00','YYYY-MM-DDHH24:MI:SS')EndTime=to_date(''2009-2-2623:59:59','YYYY-MM-DDHH24:MI:SS'));相关的参数如下：参数参数类型默认值含义StartScn数字型0分析重作日志中SCN≥StartScn日志文件部分EndScn数字型0分析重作日志中SCN≤EndScn日志文件部分StartTime日期型1998-01-01分析重作日志中时间戳≥StartTime的日志文件部分EndTime日期型2988-01-01分析重作日志中时间戳≤EndTime的日志文件部分DictFileName字符型字典文件该文件包含一个数据库目录的快照。使用该文件可以使得到的分析结果是可以理解的文本形式，而非系统内部的16进制OptionsBINARY_INTEGER0系统调试参数，实际很少使用五，得到分析结果：到现在为止，我们已经分析得到了重作日志文件中的内容。动态性能视图v$logmnr_contents包含LogMiner分析得到的所有的信息。SELECTsql_redoFROMv$logmnr_contents;如果我们仅仅想知道某个用户对于某张表的操作，可以通过下面的SQL查询得到，该查询可以得到用户TONY对表R_WIP_TST所作的一切工作。SQL;SELECTsql_redoFROMv$logmnr_contentsWHEREusername='TONY'ANDtablename='R_WIP_TST';需要强调一点的是，视图v$logmnr_contents中的分析结果仅在我们运行过程'dbms_logmrn.start_logmnr'这个会话的生命期中存在(如果执行了DBMS_LOGMNR.END_LOGMNR分析结果将消失)。这是因为所有的LogMiner存储都在PGA内存中，所有其他的进程是看不到它的，同时随着进程的结束，分析结果也随之消失。如果需要，可以通过removefile命令删除日志分析文件。SQLexecutedbms_logmnr.add_logfile(LogFileName='d:\oracle\product\10.2.0\oradata\archive\ARC00052_0684166863.001',ptions=dbms_logmnr.removefile);六，使用DBMS_LOGMNR.END_LOGMNR结束日志分析过程，释放内存。最后，使用过程DBMS_LOGMNR.END_LOGMNR终止日志分析事务，此时PGA内存区域被清除，分析结果也随之不再存在。SQLexecutedbms_logmnr.end_logmnr;作为OracleDBA，我们有时候需要追踪数据误删除或用户的恶意操作情况，此时我们不仅需要查出执行这些操作的数据库账号，还需要知道操作是由哪台客户端（IP地址等）发出的。针对这些问题，一个最有效实用而又低成本的方法就是分析Oracle数据库的日志文件。本文将就Oracle日志分析技术做深入探讨。一、如何分析即LogMiner解释从目前来看，分析Oracle日志的唯一方法就是使用Oracle公司提供的LogMiner来进行，Oracle数据库的所有更改都记录在日志中，但是原始的日志信息我们根本无法看懂，而LogMiner就是让我们看懂日志信息的工具。从这一点上看，它和tkprof差不多，一个是用来分析日志信息，一个则是格式化跟踪文件。通过对日志的分析我们可以实现下面的目的：1、查明数据库的逻辑更改；2、侦察并更正用户的误操作；3、执行事后审计；4、执行变化分析。不仅如此，日志中记录的信息还包括：数据库的更改历史、更改类型（INSERT、UPDATE、DELETE、DDL等）、更改对应的SCN号、以及执行这些操作的用户信息等，LogMiner在分析日志时，将重构等价的SQL语句和UNDO语句（分别记录在V$LOGMNR_CONTENTS视图的SQL_REDO和SQL_UNDO中）。这里需要注意的是等价语句，而并非原始SQL语句，例如：我们最初执行的是“deleteawherec1cyx;”，而LogMiner重构的是等价的6条DELETE语句。所以我们应该意识到V$LOGMNR_CONTENTS视图中显示的并非是原版的现实，从数据库角度来讲这是很容易理解的，它记录的是元操作，因为同样是“deleteawherec1cyx;”语句，在不同的环境中，实际删除的记录数可能各不相同，因此记录这样的语句实际上并没有什么实际意义，LogMiner重构的是在实际情况下转化成元操作的多个单条语句。另外由于Ora