「Oracle」善用日志挖掘,找出罪魁祸首

数据库 Oracle
上周下班时突然来了一件事...某个重要的表数据全没了!哎,有兄弟搞事情啊,虽然事后通过闪回恢复了两个小时前的数据,但是领导还是要求查一下日志看是谁操作的。。。这里主要用日志挖掘工具logmnr来跟踪。

 [[266476]]

概述

上周下班时突然来了一件事...某个重要的表数据全没了!哎,有兄弟搞事情啊,虽然事后通过闪回恢复了两个小时前的数据,但是领导还是要求查一下日志看是谁操作的。。。这里主要用日志挖掘工具logmnr来跟踪。

01.查看日志基本信息

先了解数据库日志情况

  1. select * from v$logfile; 
  2. select * from v$log; 
  3. select * from v$archived_log where status='A' ORDER BY FIRST_TIME DESC  

 

「Oracle」善用日志挖掘,找出罪魁祸首

 

这里根据故障时间点拿了这段时间的归档日志。

02.安装logmnr

  1. @$ORACLE_HOME/rdbms/admin/dbmslm.sql:DBMS_LOGMNR 
  2. @$ORACLE_HOME/rdbms/admin/dbmslmd.sql:DBMS_LOGMNR_D 
  3. @$ORACLE_HOME/rdbms/admin/dbmslms.sql --会话管理 

忘记截图,这里就不发了,用dba权限执行就可以。

03.建立日志分析列表

本来需要先开补充日志的,但是因为是事后了,所以开了也没意义。

  1. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63614.749.1009132933',options=>dbms_logmnr.new); 
  2. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56388.526.1009131229',options=>dbms_logmnr.addfile); 
  3. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63613.753.1009129303',options=>dbms_logmnr.addfile); 
  4. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56387.897.1009126625',options=>dbms_logmnr.addfile); 
  5. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56386.693.1009123411',options=>dbms_logmnr.addfile); 
  6. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_1_seq_63612.512.1009125633',options=>dbms_logmnr.addfile); 
  7. execute dbms_logmnr.add_logfile(logfilename=>'+RFDATA/rfdb/archivelog/2019_05_24/thread_2_seq_56385.727.1009123111',options=>dbms_logmnr.addfile); 

 

「Oracle」善用日志挖掘,找出罪魁祸首

 

04.开启logmnr

  1. execute dbms_logmnr.start_logmnr(Options=>dbms_logmnr.dict_from_online_catalog); 

05创建临时表

  1. create table logmnr_temp nologging as select * from v$logmnr_contents; 

小技巧:因为一直开着logmnr很耗资源,所以先创建个临时表收集信息后就可以关闭logmnr了

06.结束logmnr

  1. execute dbms_logmnr.end_logmnr; 

 

「Oracle」善用日志挖掘,找出罪魁祸首

 

07.分析相关操作

  1. SELECT scn, 
  2.  timestamp
  3.  sql_redo, 
  4.  sql_undo, 
  5.  operation, 
  6.  seg_name, 
  7.  table_name, 
  8.  username, 
  9.  os_username, 
  10.  session_info 
  11.  FROM sys.logmnr_temp  
  12.  WHERE TABLE_NAME='FSL_RDC_PLANT_MAPPING' order by timestamp

 

「Oracle」善用日志挖掘,找出罪魁祸首

 

好吧,到这里功亏一篑,只记录到操作的用户,但是没有具体的IP信息(之前没有开补充日志)。因为之前没alter database add supplemental log data所以session_info是没有信息的。

08.根据logmnr的时间字段,间接查审计

  1. select sessionid, userid, userhost, comment$text, spare1,cast (/* TIMESTAMP */(from_tz(ntimestamp#,'00:00'at localas datefrom sys.aud$ where OBJ$NAME='FSL_RDC_PLANT_MAPPING' 

 

「Oracle」善用日志挖掘,找出罪魁祸首

 

这里尝试了下还是不行,获取不到更多有价值信息,只能放弃了。

严格来说,是一次比较失败的日志挖掘,毕竟获取不到相关的IP操作,无法直接定位。不过也知道了是数据库用户glogowner在下午3:53分执行了delete命令导致,也不算一无所获。大家如果有什么更好的办法抓住凶手,可以在下方留言一起探讨哦!

责任编辑:武晓燕 来源: 今日头条
相关推荐

2011-04-21 16:34:56

打印乱码接口

2015-11-23 10:29:48

app隐藏通信安卓耗电

2019-06-04 14:19:53

AWS谷歌岩机

2009-02-25 08:58:30

裁员上网本微软

2018-01-29 23:13:47

大数据战略数据分析

2020-12-01 06:58:29

富领域模型服务

2010-07-12 16:24:20

2022-11-16 16:14:46

单踏板模式特斯拉

2015-10-14 11:32:55

机房空调制冷

2021-12-12 21:51:54

人工智能银行内卷

2011-08-12 10:04:52

数据中心宕机EPO

2010-09-12 23:07:53

2009-10-12 19:44:40

Windows 7闪屏解决办法

2015-02-26 13:34:28

2023-07-25 13:40:46

AI模型

2009-01-06 16:13:44

环路无线网络

2009-07-27 13:56:10

2010-09-01 09:33:15

网络故障

2009-06-03 08:48:26

2015-10-14 11:04:53

点赞
收藏

51CTO技术栈公众号