ITPUB论坛-中国最专业的IT技术社区

 找回密码
 注册
查看: 8891|回复: 16

[备份恢复] 通过logminer分析谁误删除的数据库

[复制链接]
论坛徽章:
1
目光如炬
日期:2017-02-26 22:00:00
发表于 2017-2-20 14:56 | 显示全部楼层 |阅读模式
开发人员通过开发工具连接到数据库误删除了数据,现在想查出是谁删除的,通过logminer挖掘归档日志后在SESSION_INFO列查到了如下信息:
login_username=L client_info= OS_username=root Machine_name=app.com OS_terminal=unknown OS_process_id=1234 OS_program_name=JDBC Thin Client;
但是依然无法确定是谁删除了数据,请哪位大神帮忙分析一下是否还有其他方式确定谁误删除了数据?OS_process_id=1234是什么信息,能否通过这个信息查到是谁删除的数据?
论坛徽章:
1
目光如炬
日期:2017-02-26 22:00:00
 楼主| 发表于 2017-2-20 15:03 | 显示全部楼层
请哪位大神遇到过类似的问题,给个思路,谢谢!!!

使用道具 举报

回复
论坛徽章:
304
奥迪
日期:2013-07-29 13:45:59红旗
日期:2014-02-07 10:47:20路虎
日期:2014-02-13 10:34:03保时捷
日期:2014-02-14 09:46:462014年新春福章
日期:2014-02-18 16:41:11马上有车
日期:2014-02-18 16:41:11马上有车
日期:2014-02-19 11:55:14马上有房
日期:2014-02-19 11:55:14马上有钱
日期:2014-02-19 11:55:14马上有对象
日期:2014-02-19 11:55:14
发表于 2017-2-20 16:26 | 显示全部楼层
不知道你依据什么,来确认是此语句?  一般情况下,你首先得定位,大概是什么时间段,或哪个机器做的操作,之后再增加被处理的表,来过滤,


最好用ORACLE 的EM来查询,这个工具查找最方便。

使用道具 举报

回复
论坛徽章:
179
红宝石
日期:2014-05-09 08:24:37萤石
日期:2014-01-03 10:25:39马上有车
日期:2014-02-18 16:41:11马上有钱
日期:2014-11-24 15:17:08马上有钱
日期:2014-11-12 09:33:24马上有房
日期:2014-11-07 08:46:05马上有钱
日期:2014-10-27 09:26:57马上有对象
日期:2014-10-28 10:28:08itpub13周年纪念徽章
日期:2014-10-10 10:38:25马上有对象
日期:2015-01-14 17:33:15
发表于 2017-2-20 21:11 | 显示全部楼层
你没打开附加日志,其他你看不到的.

使用道具 举报

回复
论坛徽章:
1
目光如炬
日期:2017-02-26 22:00:00
 楼主| 发表于 2017-2-20 21:12 | 显示全部楼层
ZALBB 发表于 2017-2-20 16:26
不知道你依据什么,来确认是此语句?  一般情况下,你首先得定位,大概是什么时间段,或哪个机器做的操作, ...

我现在已经通过定位时间段和表来追踪到当时的误操作语句了,但是在v$logmnr_contents表的session_info列无法追踪到是谁误操作的。

使用道具 举报

回复
认证徽章
论坛徽章:
2
秀才
日期:2017-06-14 16:27:23秀才
日期:2017-07-11 14:19:35
发表于 2017-2-21 08:28 | 显示全部楼层
logminer要多增加几个,因为登录时的记录在一个SCN,做删除时又在另一个SCN,肯定是unknown,所以需要你向上多增加几个。当然如果开发team一直挂着SQLPLUS,或其它工具,相对比较难查;让开发team leader又一另方法 敲山震虎方法问一下,哈哈,这是技术之外的,相比我们DBA一点一点的挖要快的多,也省力!

使用道具 举报

回复
认证徽章
论坛徽章:
1
ITPUB15周年纪念
日期:2017-03-16 09:14:40
发表于 2017-2-21 09:11 | 显示全部楼层
如果開發人員用的是公用的電腦來操作的,那肯定是沒法看了。這種又不一定非要通過技術層面來解決的

使用道具 举报

回复
论坛徽章:
0
发表于 2017-2-21 10:57 | 显示全部楼层
ZALBB 发表于 2017-2-20 16:26
不知道你依据什么,来确认是此语句?  一般情况下,你首先得定位,大概是什么时间段,或哪个机器做的操作, ...

版主,通过EM怎么查询,我找了半天都没找到。

使用道具 举报

回复
论坛徽章:
304
奥迪
日期:2013-07-29 13:45:59红旗
日期:2014-02-07 10:47:20路虎
日期:2014-02-13 10:34:03保时捷
日期:2014-02-14 09:46:462014年新春福章
日期:2014-02-18 16:41:11马上有车
日期:2014-02-18 16:41:11马上有车
日期:2014-02-19 11:55:14马上有房
日期:2014-02-19 11:55:14马上有钱
日期:2014-02-19 11:55:14马上有对象
日期:2014-02-19 11:55:14
发表于 2017-2-21 11:29 | 显示全部楼层
sportman110 发表于 2017-2-21 10:57
版主,通过EM怎么查询,我找了半天都没找到。

EM主页 --> 可用性 --> 查看和管理事务处理

得开启最小补充事件记录功能才能用此功能,

使用道具 举报

回复
论坛徽章:
1
目光如炬
日期:2017-02-26 22:00:00
 楼主| 发表于 2017-2-21 13:40 | 显示全部楼层
煩人的小逗 发表于 2017-2-21 09:11
如果開發人員用的是公用的電腦來操作的,那肯定是沒法看了。這種又不一定非要通過技術層面來解決的

不是公有电脑,开发人员有IP地址

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

SACC2017购票7.8折优惠进行时

2017中国系统架构师大会(SACC2017)将于10月19-21日在北京新云南皇冠假日酒店震撼来袭。今年,大会以“云智未来”为主题,云集国内外顶级专家,围绕云计算、人工智能、大数据、移动互联网、产业应用等热点领域展开技术探讨与交流。本届大会共设置2大主会场,18个技术专场;邀请来自互联网、金融、制造业、电商等多个领域,100余位技术专家及行业领袖来分享他们的经验;并将吸引4000+人次的系统运维、架构师及IT决策人士参会,为他们提供最具价值的交流平台。
----------------------------------------
优惠时间:2017年8月30日前

活动链接>>
TOP技术积分榜 社区积分榜 徽章 电子杂志 团队 统计 虎吧 老博客 知识索引树 读书频道 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档 | IT博客
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛 | SAP ERP系统
CopyRight 1999-2011 itpub.net All Right Reserved. 北京皓辰网域网络信息技术有限公司版权所有 联系我们 网站律师 隐私政策 知识产权声明
京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表