环境
数据库服务器操作系统:Windows Server2008 R2 Standard
数据库版本:Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production
ORACLE_HOME: d:\app\Administrator\product\11.2.0\dbhome_1\
起因
新上线一个产品,数据库一个表的数据出现被删除情况,但没有人主动认领。
由于
客户端没有数据库管理员
新人加入项目组有数据库操作权限
实施人员直接操作数据库记录
无法准确知道哪台机子动了数据,于是想着如此强大的Oracle数据库肯定有查看所有更改记录的功能。
网上搜了一通,没有发现直接的能够双击运行的exe工具,基本都是讲通过oracle自带的logminer(日志挖掘)工具对日志进行分析。
logminer需要进行一系列配置才可用。
步骤
启动sqlplus或在pl/sql developer中打开命令窗口
使用sys@sysdba连接数据库
1.运行两个sql脚本
运行logminer需要先执行两个脚本,脚本中包含视图、过程等运行logminer所需的数据库对象。
这两个脚本分别是dbmslm.sql、dbmslmd.sql,数据库安装好以后,他们保存在以下目录中(安装路径不同目录也不同)
'd:\app\Administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\dbmslm.sql'
'd:\app\Administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\dbmslmd.sql'
执行这两个脚本
SQL> @$ORACLE_HOME\RDBMS\ADMIN\dbmslm.sql;
SQL> @$ORACLE_HOME\RDBMS\ADMIN\dbmslmd.sql;
2.新增一个目录,存放日志分析数据
因为是测试,我手工在D盘建立logs目录(D:/LOGS)
网上说可以通过语句新增
SQL> CREATE DIRECTORY utlfile AS 'd:/logs';
3.增加一个初始化参数 utl_file_dir
初始化文件存放路径:‘d:\app\Administrator\product\11.2.0\dbhome_1\srvm\admin\init.ora’
可以同通过手工和脚本创建这个初始化参数
手工
进入路径打开init.ora文件,新增一行:utl_file_dir=d:/logs
脚本
SQL> alter system set utl_file_dir='d:/logs' scope=spfile;
4.创建数据字典文件
SQL> exec dbms_logmnr_d.build(dictionary_filename => 'miner.ora', dictionary_location =>'d:/logs');
5.打开数据库的扩充日志(supplemental logging)
在通常情况下,redo log 只记录的进行恢复所必需的信息,但是这些信息对于一些其他应用是不够的,例如在 redo log中使用rowid唯一标识一行而不是通过Primary key,如果我们在另外的数据库分析这些日志并想重新执行某些dml时可能会有问题,因为不同的数据库其rowid代表的内容是不同的。这时候就需要一些额外的信息(columns)加入redo log,这就是supplemental logging。
查看是否开启扩充日志
SQL> select SUPPLEMENTAL_LOG_DATA_MIN from v$database;
如果没有没有开启(返回NO)扩充日志,则开启扩充日志
SQL> alter database add supplemental log data;
6.重启数据库
要使初始化参数生效,需重新启动数据库。
关闭数据库
SQL> shutdown immediate;
开启数据库
SQL> startup;
7.提取要分析的日志文件
查看当前联机日志文件
SQL> SELECT group#, sequence#, status, first_change#, first_time FROM V$log ORDER BY first_change#;
status为current的记录即为当前活动日志,取得这条记录的group#,比如group# = 3
SQL> select * from v$logfile where group# = 3;
这条语句可以获得当前活动日志的路径,如:D:\APP\ADMINISTRATOR\ORADATA\GYTEST\REDO003.LOG
将此日志加入待分析的日志文件
SQL> exec dbms_logmnr.add_logfile('D:\APP\ADMINISTRATOR\ORADATA\GYTEST\REDO003.LOG', dbms_logmnr.new);
8.启动日志分析
SQL> exec dbms_logmnr.start_logmnr( dictfilename=>'d:/logs/miner.ora');
9.查看日志分析结果
SQL> SELECT sql_redo, sql_undo, seg_owner FROM v$logmnr_contents;
