Chinaunix

标题: 日志分析logmnr使用方法_分享 [打印本页]

作者: 流川 时间: 2007-02-28 16:18
标题: 日志分析logmnr使用方法_分享
作者：流川
date：07/02/28

一、安装LogMiner工具，以下两个脚本以SYSDBA身份运行

@$ORACLE_HOME\rdbms\admin\dbmslm.sql;

@ $ORACLE_HOME\rdbms\admin\dbmslmd.sql;

第一个脚本用来创建DBMS_LOGMNR包，该包用来分析日志文件。
第二个脚本用来创建DBMS_LOGMNR_D包，该包用来创建数据字典文件。

二、使用LogMiner工具

下面将详细介绍如何使用LogMiner工具。

1、创建数据字典文件（data-dictionary）

  1).首先在init.ora初始化参数文件中，指定数据字典文件的位置，也就是添加一个参数UTL_FILE_DIR，该参数值为服务器中放置数据字典文件的目录。如：UTL_FILE_DIR = ($ORACLE_HOME\logs) ,重新启动数据库，使新加的参数生效：

  2).然后创建数据字典文件
  SQL> connect /as sysdba
  SQL> execute dbms_logmnr_d.build(dictionary_filename => 'dict.ora',dictionary_location => 'G:\oracle\logs');

  PL/SQL procedure successfully completed

2、创建要分析的日志文件列表

  1).创建分析列表，即所要分析的日志
SQL> execute dbms_logmnr.add_logfile(LogFileName => 'G:\ORACLE\ORADATA\ORADBSP\REDO04.LOG',Options => dbms_logmnr.new);

PL/SQL procedure successfully completeds

  2).添加分析日志文件，一次添加1个为宜
SQL> execute dbms_logmnr.add_logfile(LogFileName => 'G:\ORACLE\ORADATA\ORADBSP\REDO05.LOG',Options => dbms_logmnr.ADDFILE);

PL/SQL procedure successfully completed

3、使用logMiner进行日志分析

1).无限制条件，即用数据字典文件对要分析的日志文件所有内容做分析
   SQL> execute dbms_logmnr.start_logmnr(DictFileName => 'G:\oracle\logs\dict.ora');

   PL/SQL procedure successfully completed

2).带限制条件，可以用scn号或时间做限制条件,也可组合使用
   --分析日志列表中时间从07.02.28从10:00到15:00的内容
   SQL> execute dbms_logmnr.start_logmnr(startTime => to_date('20070228100000','yyyy-mm-dd hh24:mi:ss'),endTime => to_date('20070228150000','yyyy-mm-dd hh24:mi:ss'),DictFileName => 'G:\oracle\logs\dict.ora');

PL/SQL procedure successfully completed

  dbms_logmnr.start_logmnr函数的原型为：
  PROCEDURE start_logmnr(
   startScn          IN  NUMBER default 0 ,
   endScn IN  NUMBER default 0,
   startTime       IN  DATE default '',
   endTime         IN  DATE default '',
   DictFileName IN  VARCHAR2 default '',
   Options IN  BINARY_INTEGER default 0 );

4.分析后释放内存

SQL> execute dbms_logmnr.end_logmnr;

PL/SQL procedure successfully completed

5.其它
1).删除日志分析文件
exec dbms_logmnr.add_logfile('G:\ORACLE\ORADATA\ORADBSP\REDO04.LOG',dbms_logmnr.removefile);

三、查看LogMiner工具分析结果

SQL> select * from dict t where t.table_name like '%LOGMNR%';--看所有与logmnr相关的视图

TABLE_NAME                   COMMENTS
------------------------------ --------------------------------------------------------------------------------
GV$LOGMNR_CALLBACK          Synonym for GV_$LOGMNR_CALLBACK
GV$LOGMNR_CONTENTS          Synonym for GV_$LOGMNR_CONTENTS
GV$LOGMNR_DICTIONARY          Synonym for GV_$LOGMNR_DICTIONARY
GV$LOGMNR_LOGFILE             Synonym for GV_$LOGMNR_LOGFILE
GV$LOGMNR_LOGS                Synonym for GV_$LOGMNR_LOGS
GV$LOGMNR_PARAMETERS          Synonym for GV_$LOGMNR_PARAMETERS
GV$LOGMNR_PROCESS             Synonym for GV_$LOGMNR_PROCESS
GV$LOGMNR_REGION             Synonym for GV_$LOGMNR_REGION
GV$LOGMNR_SESSION             Synonym for GV_$LOGMNR_SESSION
GV$LOGMNR_STATS             Synonym for GV_$LOGMNR_STATS
GV$LOGMNR_TRANSACTION       Synonym for GV_$LOGMNR_TRANSACTION
V$LOGMNR_CALLBACK             Synonym for V_$LOGMNR_CALLBACK
V$LOGMNR_CONTENTS             Synonym for V_$LOGMNR_CONTENTS
V$LOGMNR_DICTIONARY          Synonym for V_$LOGMNR_DICTIONARY
V$LOGMNR_LOGFILE             Synonym for V_$LOGMNR_LOGFILE
V$LOGMNR_LOGS                Synonym for V_$LOGMNR_LOGS
V$LOGMNR_PARAMETERS          Synonym for V_$LOGMNR_PARAMETERS
V$LOGMNR_PROCESS             Synonym for V_$LOGMNR_PROCESS
V$LOGMNR_REGION             Synonym for V_$LOGMNR_REGION
V$LOGMNR_SESSION             Synonym for V_$LOGMNR_SESSION

TABLE_NAME                   COMMENTS
------------------------------ --------------------------------------------------------------------------------
V$LOGMNR_STATS                Synonym for V_$LOGMNR_STATS
V$LOGMNR_TRANSACTION          Synonym for V_$LOGMNR_TRANSACTION

GV$LOGMNR_LOGS 是分析日志列表视图

分析结果在GV$LOGMNR_CONTENTS 视图中，可按以下语句查询：

select scn,timestamp,log_id,seg_owner,seg_type,table_space,data_blk#,data_obj#,data_objd#,
   session#,serial#,username,session_info,sql_redo,sql_undo
from logmnr3 t
where t.sql_redo like 'create%';

如果不能正常查询GV$LOGMNR_CONTENTS视图，并报以下错误，ORA-01306: 在从 v$logmnr_contents 中选择之前必须调用 dbms_logmnr.start_logmnr() 。可采用如下方法：

create table logmnr3 as select * from GV$LOGMNR_CONTENTS;

FAQ：

1.创建数据字典的目 : 让LogMiner引用涉及到内部数据字典中的部分时为他们实际的名字，而不是系统内部的16进制。数据字典文件是一个文本文件，使用包DBMS_LOGMNR_D来创建。如果我们要分析的数据库中的表有变化，影响到库的数据字典也发生变化，这时就需要重新创建该字典文件。另外一种情况是在分析另外一个数据库文件的重作日志时，也必须要重新生成一遍被分析数据库的数据字典文件。在使用LogMiner工具分析redo log文件之前，可以使用DBMS_LOGMNR_D 包将数据字典导出为一个文本文件。该字典文件是可选的，但是如果没有它，LogMiner解释出来的语句中关于数据字典中的部分（如表名、列名等）和数值都将是16进制的形式，我们是无法直接理解的。例如，下面的sql语句：

INSERT INTO dm_dj_swry (rydm, rymc) VALUES (00005, '张三');

   LogMiner解释出来的结果将是下面这个样子，

insert into Object#308(col#1, col#2) values (hextoraw('c30rte567e436'), hextoraw('4a6f686e20446f65'));

[ 本帖最后由流川于 2007-2-28 17:47 编辑 ]

作者: 秋风No.1 时间: 2007-02-28 17:40
好文，顶一下

作者: 流川 时间: 2007-02-28 17:47
我们公司要做个通个分析归档日志实现审计功能，我就写了这篇。顺便给大家分享，哈

作者: sht7182 时间: 2007-03-02 11:15
ding

作者: football2006 时间: 2007-03-02 14:11
好文章...............

作者: Starplain 时间: 2008-01-31 11:29
请问我的数据字典已经建立了，可解析出来的语句仍然是不可理解，这是为什么呀？

请高手指教！谢谢！

delete from "SYS"."COL_USAGE$" where "OBJ#" = '4294950955' and "INTCOL#" = '3' a
nd "EQUALITY_PREDS" = '2' and "EQUIJOIN_PREDS" = '0' and "NONEQUIJOIN_PREDS" = '
0' and "RANGE_PREDS" = '0' and "LIKE_PREDS" = '0' and "NULL_PREDS" = '0' and "TI
MESTAMP" = TO_DATE('31-1月 -08', 'DD-MON-RR') and ROWID = 'AAAAIFAABAAABAcADE';

作者: edeed 时间: 2008-03-26 12:49
写的不错，用上了

作者: algol 时间: 2008-03-26 15:02
好文，顶一下

作者: soonwind 时间: 2009-07-10 13:20

原帖由 Starplain 于 2008-1-31 11:29 发表
请问我的数据字典已经建立了，可解析出来的语句仍然是不可理解，这是为什么呀？

请高手指教！谢谢！

delete from "SYS"."COL_USAGE$" where "OBJ#" = '4294950955' and "INTCOL#" = '3' a
nd "EQUALITY_ ...

使用 sys.dbms_logmnr.start_logmnr(Options=> sys.dbms_logmnr.DICT_FROM_ONLINE_CATALOG + sys.dbms_logmnr.NO_SQL_DELIMITER);
就不会了。

作者: sunnytc 时间: 2010-05-05 17:39
好的，不错的东东

作者: renxiao2003 时间: 2010-05-05 21:39
学习哦。这个工具有机会实验一下。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)