自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)?/h1>

作者:佚名
數(shù)據(jù)庫 Oracle
上周下班時(shí)突然來了一件事...某個(gè)重要的表數(shù)據(jù)全沒了!哎,有兄弟搞事情啊,雖然事后通過閃回恢復(fù)了兩個(gè)小時(shí)前的數(shù)據(jù),但是領(lǐng)導(dǎo)還是要求查一下日志看是誰操作的。。。這里主要用日志挖掘工具logmnr來跟蹤。

 [[266476]]

概述

上周下班時(shí)突然來了一件事...某個(gè)重要的表數(shù)據(jù)全沒了!哎,有兄弟搞事情啊,雖然事后通過閃回恢復(fù)了兩個(gè)小時(shí)前的數(shù)據(jù),但是領(lǐng)導(dǎo)還是要求查一下日志看是誰操作的。。。這里主要用日志挖掘工具logmnr來跟蹤。

01.查看日志基本信息

先了解數(shù)據(jù)庫日志情況

  1. select * from v$logfile; 
  2. select * from v$log; 
  3. select * from v$archived_log where status='A' ORDER BY FIRST_TIME DESC  

 

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)? src=

 

這里根據(jù)故障時(shí)間點(diǎn)拿了這段時(shí)間的歸檔日志。

02.安裝logmnr

  1. @$ORACLE_HOME/rdbms/admin/dbmslm.sql:DBMS_LOGMNR 
  2. @$ORACLE_HOME/rdbms/admin/dbmslmd.sql:DBMS_LOGMNR_D 
  3. @$ORACLE_HOME/rdbms/admin/dbmslms.sql --會話管理 

忘記截圖,這里就不發(fā)了,用dba權(quán)限執(zhí)行就可以。

03.建立日志分析列表

本來需要先開補(bǔ)充日志的,但是因?yàn)槭鞘潞罅耍蚤_了也沒意義。

  1. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63614.749.1009132933',options=>dbms_logmnr.new); 
  2. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56388.526.1009131229',options=>dbms_logmnr.addfile); 
  3. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63613.753.1009129303',options=>dbms_logmnr.addfile); 
  4. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56387.897.1009126625',options=>dbms_logmnr.addfile); 
  5. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56386.693.1009123411',options=>dbms_logmnr.addfile); 
  6. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63612.512.1009125633',options=>dbms_logmnr.addfile); 
  7. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56385.727.1009123111',options=>dbms_logmnr.addfile); 

 

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)? src=

 

04.開啟logmnr

  1. execute dbms_logmnr.start_logmnr(Options=>dbms_logmnr.dict_from_online_catalog); 

05創(chuàng)建臨時(shí)表

  1. create table logmnr_temp nologging as select * from v$logmnr_contents; 

小技巧:因?yàn)橐恢遍_著logmnr很耗資源,所以先創(chuàng)建個(gè)臨時(shí)表收集信息后就可以關(guān)閉logmnr了

06.結(jié)束logmnr

  1. execute dbms_logmnr.end_logmnr; 

 

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)? src=

 

07.分析相關(guān)操作

  1. SELECT scn, 
  2.  timestamp
  3.  sql_redo, 
  4.  sql_undo, 
  5.  operation, 
  6.  seg_name, 
  7.  table_name, 
  8.  username, 
  9.  os_username, 
  10.  session_info 
  11.  FROM sys.logmnr_temp  
  12.  WHERE TABLE_NAME='FSL_RDC_PLANT_MAPPING' order by timestamp

 

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)? src=

 

好吧,到這里功虧一簣,只記錄到操作的用戶,但是沒有具體的IP信息(之前沒有開補(bǔ)充日志)。因?yàn)橹皼]alter database add supplemental log data所以session_info是沒有信息的。

08.根據(jù)logmnr的時(shí)間字段,間接查審計(jì)

  1. select sessionid, userid, userhost, comment$text, spare1,cast (/* TIMESTAMP */(from_tz(ntimestamp#,'00:00'at localas datefrom sys.aud$ where OBJ$NAME='FSL_RDC_PLANT_MAPPING' 

 

「Oracle」善用日志挖掘,找出罪魁禍?zhǔn)? src=

 

這里嘗試了下還是不行,獲取不到更多有價(jià)值信息,只能放棄了。

嚴(yán)格來說,是一次比較失敗的日志挖掘,畢竟獲取不到相關(guān)的IP操作,無法直接定位。不過也知道了是數(shù)據(jù)庫用戶glogowner在下午3:53分執(zhí)行了delete命令導(dǎo)致,也不算一無所獲。大家如果有什么更好的辦法抓住兇手,可以在下方留言一起探討哦!

責(zé)任編輯:武曉燕 來源: 今日頭條
Oracle日志數(shù)據(jù)庫
相關(guān)推薦

2011-04-21 16:34:56

打印亂碼接口

2019-06-04 14:19:53

AWS谷歌巖機(jī)

2015-11-23 10:29:48

app隱藏通信安卓耗電

2018-01-29 23:13:47

大數(shù)據(jù)戰(zhàn)略數(shù)據(jù)分析

2022-11-16 16:14:46

單踏板模式特斯拉

2020-12-01 06:58:29

富領(lǐng)域模型服務(wù)

2009-02-25 08:58:30

裁員上網(wǎng)本微軟

2010-07-12 16:24:20

2021-12-12 21:51:54

人工智能銀行內(nèi)卷

2011-08-12 10:04:52

數(shù)據(jù)中心宕機(jī)EPO

2015-10-14 11:32:55

機(jī)房空調(diào)制冷

2010-09-12 23:07:53

2009-10-12 19:44:40

Windows 7閃屏解決辦法

2009-01-06 16:13:44

環(huán)路無線網(wǎng)絡(luò)

2015-02-26 13:34:28

2023-07-25 13:40:46

AI模型

2009-07-27 13:56:10

2009-06-03 08:48:26

2018-09-10 09:43:26

2015-10-14 11:04:53

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號