Logminer是Oracle数据库自带的一款日志分析工具,能够对数据库的redo日志和归档日志进行解析,还原出日志中记录的所有数据变更操作,在故障排查、数据恢复、操作审计等场景中都有广泛的应用。下面通过一个完整的范例,演示如何使用Logminer完成日志挖掘工作。
一、Logminer使用前的准备工作
在使用Logminer之前,需要先确认数据库的相关参数配置是否正确,同时准备好需要分析的日志文件。首先确保数据库已经开启归档模式,因为Logminer分析归档日志时需要该模式支持,同时需要确认utl_file_dir参数已经设置,这个参数是Logminer存放数据字典文件的目录。
可以通过以下SQL语句查看归档模式和utl_file_dir参数配置:
-- 查看数据库归档模式 SELECT log_mode FROM v$database; -- 查看utl_file_dir参数配置 SELECT value FROM v$parameter WHERE name = 'utl_file_dir';
如果utl_file_dir参数没有设置,需要先修改参数并重启数据库,修改语句如下:
-- 设置utl_file_dir参数,目录可以根据实际情况调整 ALTER SYSTEM SET utl_file_dir = '/u01/app/oracle/logminer' SCOPE=SPFILE;
二、创建Logminer数据字典
Logminer解析日志时需要数据字典来将对象ID转换成可读的表名、列名,因此需要先创建数据字典文件。使用dbms_logmnr_d.build过程来生成数据字典,语句如下:
BEGIN
dbms_logmnr_d.build(
dictionary_filename => 'dictionary.ora', -- 数据字典文件名
dictionary_location => '/u01/app/oracle/logminer' -- 数据字典存放目录,和utl_file_dir参数一致
);
END;
/三、添加需要分析的日志文件
数据字典创建完成后,就可以添加需要分析的redo日志或者归档日志了。使用dbms_logmnr.add_logfile过程来添加日志,首先添加第一个日志文件,后续添加其他日志时需要使用dbms_logmnr.addfile选项。
先查询当前数据库的redo日志路径,方便找到需要分析的日志文件:
-- 查询redo日志路径 SELECT member FROM v$logfile;
添加第一个日志文件的示例:
BEGIN
dbms_logmnr.add_logfile(
logfilename => '/u01/app/oracle/oradata/ORCL/redo01.log', -- 第一个日志文件路径
options => dbms_logmnr.new -- 表示新建日志文件列表
);
END;
/如果需要添加更多日志文件,使用如下语句:
BEGIN
dbms_logmnr.add_logfile(
logfilename => '/u01/app/oracle/oradata/ORCL/redo02.log', -- 第二个日志文件路径
options => dbms_logmnr.addfile -- 表示向现有列表添加日志
);
END;
/四、启动Logminer开始分析
日志文件添加完成后,就可以启动Logminer进行分析了,使用dbms_logmnr.start_logmnr过程,同时指定使用之前创建的数据字典。
BEGIN
dbms_logmnr.start_logmnr(
dictfilename => '/u01/app/oracle/logminer/dictionary.ora' -- 数据字典文件路径
);
END;
/如果需要分析特定时间段的日志,还可以在启动的时候指定时间范围,比如分析2024年5月1日0点到12点的日志:
BEGIN
dbms_logmnr.start_logmnr(
dictfilename => '/u01/app/oracle/logminer/dictionary.ora',
starttime => TO_DATE('2024-05-01 00:00:00', 'YYYY-MM-DD HH24:MI:SS'),
endtime => TO_DATE('2024-05-01 12:00:00', 'YYYY-MM-DD HH24:MI:SS')
);
END;
/五、查看Logminer分析结果
Logminer分析完成后,所有的变更记录都会存放在v$logmnr_contents视图中,可以通过查询这个视图来获取需要的日志信息。比如查询所有删除操作的记录:
SELECT timestamp, -- 操作时间 username, -- 执行操作的用户 operation, -- 操作类型,比如DELETE、INSERT、UPDATE sql_redo, -- 重做SQL,即当时执行的操作语句 sql_undo -- 撤销SQL,可以用来回滚该操作 FROM v$logmnr_contents WHERE operation = 'DELETE';
如果需要查询特定表的变更记录,可以添加表名条件,比如查询test_user表的所有变更:
SELECT timestamp, username, operation, sql_redo, sql_undo FROM v$logmnr_contents WHERE seg_name = 'TEST_USER'; -- seg_name是表名,注意大写
六、结束Logminer会话
分析完成后,需要及时结束Logminer会话,释放相关资源,使用dbms_logmnr.end_logmnr过程即可:
BEGIN dbms_logmnr.end_logmnr; END; /
七、注意事项
- Logminer只能分析Oracle数据库的redo和归档日志,无法分析其他数据库的日志文件。
- 数据字典文件和日志文件需要放在
utl_file_dir参数指定的目录中,否则会报错。 v$logmnr_contents视图的内容只在当前会话有效,会话结束后数据会清空,如果需要长期保存分析结果,需要先将数据导出到其他表中。- 分析大文件日志时可能会消耗较多的数据库资源,建议在业务低峰期进行操作。