跟踪数据库访问记录的方法.docxVIP

跟踪数据库访问记录的方法如果有黑客入侵，或者操作被抵赖，我们就需要跟踪数据库的访问记录。跟踪的内容包括：操作时间、源ip地址、sql语句等。本文阐述了跟踪方法，并通过实验得到验证。实验环境：oracle10 for windows.归档模式数据库必须处于归档模式。跟踪的原理是分析数据库的归档日志。检查数据库归档模式的方法：selectname,log_mode from v$database;也可以用下面的语句archive log list；(该方法需要as sysdba)对于非归档模式的数据库改为归档模式（主要以Oracle 10g为参考）使用以下步骤：SQL alter system set log_archive_dest_1=location=/oracle/oracle10g/log/archive_log;该语句含义是确定归档日志的路径，实际上Oracle 10g可以生成多份一样的日志，保存多个位置，以防不测例如再添加一个日志位置可使用以下语句SQLalter system set log_archive_dest_2=location=/oracle/oracle10g/log2/archive_log;关闭数据库SQL shutdown immediate 3.启动数据mount状态：SQL startup mount;4、修改数据库为归档模式：SQL alter database archivelog; 打开数据库，查询：SQL alter database open;修改日志文件命名格式：SQL alter system set log_archive_max_processes = 5;SQL alter system set log_archive_format = archive_%t_%s_%r.log scope=spfile;修改完成后可以查看日志模式是否修改成功！需要注意的是：从非归档模式改为归档模式需要重启数据库。BTW,说一说如何从归档模式改为非归档模式：alter system set log_archive_start=false scope=spfile; 然后关闭数据库 shutdown immediate 再后面把数据库启动到mount的模式 startup mount 关闭flash， alter database flashback off 接着把数据库改为非归档模式 alter database noarchivelog; 都修改好了以后，然后打开数据库 Alter database open; 察看一下归档日志的空间大小 select * from v$recovery_file_dest; 接着看一下log日志的状态 select * from v$log; 再看一下闪回日志使用状况 select * from v$flash_recovery_area_usage。在将非归档模式转换成归档模式的时候，原来的redo日志还保存。这是当数据库处于非归档模式时唯一能跟踪数据库操作记录的基础，一定不能丢了。跟踪信息的搜集1、确认设置了初始化参数：UTL_FILE_DIR，并确认Oracle对改目录拥有读写权限，然后启动实例。示例中UTL_FILE_DIR参数如下： SQL show parameter utl NAME TYPE VALUEutl_file_dir string d:\oracle如何该参数如果为空，需要重新设置。设置该参数的方法是：SQLcreate pfile=’d:\oracle\product\10.2.0\initora9i.ora from spfile;修改initora9i.ora文件，加入utl_file_dir设置（其中ora9i是SID）。关闭数据库。SQLcreate spfile from pfile=’d:\oracle\product\10.2.0\initora9i.ora重新启动数据库。这是show parameter utl就可以看到utl_file_dir改过来了。2、生成字典信息文件：exec dbms_logmnr_d.build(dictionary_filename =d:\oracle\dic.ora,dictionary_location = d:\oracle);其中dictionary_location指的是字典信息文件的存放位置,它必须完全匹配UTL_FILE_DIR的值。dictionary_filename指的是放于字典信息文件的名字，可以任意取。3、添加需要分析的日志文件