利用Logminer进行Oracle日志分析

环境

数据库服务器操作系统：Windows Server2008 R2 Standard

数据库版本：Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production

ORACLE_HOME： d:\app\Administrator\product\11.2.0\dbhome_1\

起因

新上线一个产品，数据库一个表的数据出现被删除情况，但没有人主动认领。

由于

• 客户端没有数据库管理员

• 新人加入项目组有数据库操作权限

• 实施人员直接操作数据库记录

无法准确知道哪台机子动了数据，于是想着如此强大的Oracle数据库肯定有查看所有更改记录的功能。

网上搜了一通，没有发现直接的能够双击运行的exe工具，基本都是讲通过oracle自带的logminer(日志挖掘)工具对日志进行分析。

logminer需要进行一系列配置才可用。

步骤

启动sqlplus或在pl/sql developer中打开命令窗口

使用sys@sysdba连接数据库

1.运行两个sql脚本

运行logminer需要先执行两个脚本，脚本中包含视图、过程等运行logminer所需的数据库对象。

这两个脚本分别是dbmslm.sql、dbmslmd.sql，数据库安装好以后，他们保存在以下目录中(安装路径不同目录也不同)

'd:\app\Administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\dbmslm.sql'
'd:\app\Administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\dbmslmd.sql'

执行这两个脚本

SQL> @$ORACLE_HOME\RDBMS\ADMIN\dbmslm.sql;

SQL> @$ORACLE_HOME\RDBMS\ADMIN\dbmslmd.sql;

2.新增一个目录，存放日志分析数据

因为是测试，我手工在Ｄ盘建立logs目录(D:/LOGS)

网上说可以通过语句新增

SQL> CREATE DIRECTORY utlfile AS 'd:/logs';

3.增加一个初始化参数 utl_file_dir

初始化文件存放路径：‘d:\app\Administrator\product\11.2.0\dbhome_1\srvm\admin\init.ora’

可以同通过手工和脚本创建这个初始化参数

手工

进入路径打开init.ora文件，新增一行：utl_file_dir=d:/logs

脚本

SQL> alter system set utl_file_dir='d:/logs' scope=spfile;

4.创建数据字典文件

SQL> exec dbms_logmnr_d.build(dictionary_filename => 'miner.ora', dictionary_location =>'d:/logs');

5.打开数据库的扩充日志(supplemental logging)

在通常情况下，redo log 只记录的进行恢复所必需的信息，但是这些信息对于一些其他应用是不够的，例如在 redo log中使用rowid唯一标识一行而不是通过Primary key，如果我们在另外的数据库分析这些日志并想重新执行某些dml时可能会有问题，因为不同的数据库其rowid代表的内容是不同的。这时候就需要一些额外的信息（columns）加入redo log，这就是supplemental logging。

查看是否开启扩充日志

SQL> select SUPPLEMENTAL_LOG_DATA_MIN from v$database;

如果没有没有开启(返回NO)扩充日志,则开启扩充日志

SQL> alter database add supplemental log data;

6.重启数据库

要使初始化参数生效，需重新启动数据库。

关闭数据库

SQL> shutdown immediate;

开启数据库

SQL> startup;

7.提取要分析的日志文件

查看当前联机日志文件

SQL> SELECT group#, sequence#, status, first_change#, first_time FROM V$log ORDER BY first_change#;

status为current的记录即为当前活动日志，取得这条记录的group#，比如group# = 3

SQL> select * from v$logfile where group# = 3;

这条语句可以获得当前活动日志的路径，如：D:\APP\ADMINISTRATOR\ORADATA\GYTEST\REDO003.LOG

将此日志加入待分析的日志文件

SQL> exec　dbms_logmnr.add_logfile('D:\APP\ADMINISTRATOR\ORADATA\GYTEST\REDO003.LOG', dbms_logmnr.new);

8.启动日志分析

SQL> exec dbms_logmnr.start_logmnr( dictfilename=>'d:/logs/miner.ora');

9.查看日志分析结果

SQL> SELECT sql_redo, sql_undo, seg_owner FROM v$logmnr_contents；

Paste_Image.png