|
|
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Ребята,вы наверное не первый раз видите в логе который был создан с помощью утилиты Translate Log в централе такие записи Код: plaintext 1. 2. 3. 4. 5. ну понятно, что это зафиксирован факт коннекта к базе пользователя DBA 20 мая 2008 в 11:54 а что означает Код: plaintext Можно ли по этим данным определить IP адрес,или ещё чего нибудь,чтоб хоть как нибудь идентифицировать компьютер с которого подключались??? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.06.2008, 11:38 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84 wrote: > Можно ли по этим данным определить IP адрес,или ещё чего нибудь,чтоб > хоть как нибудь идентифицировать компьютер с которого подключались??? Нет. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.06.2008, 12:21 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84а что означает 1068-0151584547 ?????Это адрес чекпоинта на момент коннекта или перед выполнением команды которая показана сразу после комментария. Одно слово внутри абзаца лучше выделять через B, I или U. Лучше читается. Andreas_84Можно ли по этим данным определить IP адрес,или ещё чего нибудь,чтоб хоть как нибудь идентифицировать компьютер с которого подключались???Нет. По этим данным нельзя. Зато по ним можно починить репликацию... Если нужно знать откуда приходят юзера, то перехвати процедуру логина (смотри опцию login_procedure) и сам делай запись нужных параметров коннекта в какой-нибудь собственной таблице. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.06.2008, 17:05 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
White Owl Andreas_84а что означает 1068-0151584547 ?????Это адрес чекпоинта на момент коннекта или перед выполнением команды которая показана сразу после комментария. Одно слово внутри абзаца лучше выделять через B, I или U. Лучше читается. Andreas_84Можно ли по этим данным определить IP адрес,или ещё чего нибудь,чтоб хоть как нибудь идентифицировать компьютер с которого подключались???Нет. По этим данным нельзя. Зато по ним можно починить репликацию... Если нужно знать откуда приходят юзера, то перехвати процедуру логина (смотри опцию login_procedure) и сам делай запись нужных параметров коннекта в какой-нибудь собственной таблице. Спасибо,но дело не в том.Просто БЫЛИ УДАЛЕНЫ НЕСКОЛЬКО ЗАПИСЕЙ ИЗ таблицы,а кто сделал,не понятно.Вообщем кто то немного напортачил работая под DBA))))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.07.2008, 12:10 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84 Спасибо,но дело не в том.Просто БЫЛИ УДАЛЕНЫ НЕСКОЛЬКО ЗАПИСЕЙ ИЗ таблицы,а кто сделал,не понятно.Вообщем кто то немного напортачил работая под DBA))))) А в чем же дело? Вам нужно решить проблему или нет? Завтра кто-то просто еще что-нибудь удалит(под DBA!?) и Вы опять ничего не узнаете. Если хотите, контролировать на уровне лога делайте как Вам уже предложили. Еще можно контролировать на уровне таблиц по триггерам, записывая данные в собственные таблицы аудита. В последнем случае можно очень красивую и удобную систему аудита накрутить ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.07.2008, 13:46 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
antand Andreas_84 Спасибо,но дело не в том.Просто БЫЛИ УДАЛЕНЫ НЕСКОЛЬКО ЗАПИСЕЙ ИЗ таблицы,а кто сделал,не понятно.Вообщем кто то немного напортачил работая под DBA))))) А в чем же дело? Вам нужно решить проблему или нет? Завтра кто-то просто еще что-нибудь удалит(под DBA!?) и Вы опять ничего не узнаете. Если хотите, контролировать на уровне лога делайте как Вам уже предложили. Еще можно контролировать на уровне таблиц по триггерам, записывая данные в собственные таблицы аудита. В последнем случае можно очень красивую и удобную систему аудита накрутить Аааааа,да,виноват,я просто увидел слово репликация, и подумал что это не из дой оперы. Прочитал ещё раз и на сколько я понял можно как-то проследить по этой процедуре будующи подключения,да??!!!Вообщем ещё полностью не въехал но суть предложеного помоему начал понимать..Почитаю счас,попробую разобраться... Спасибо))!!! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.07.2008, 17:20 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Вообщем я так понимаю про былые изменения по адресу чекпоинта узнать так и не удастся(((!??Это всё касается как говорится "на будущее((",да? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.07.2008, 18:31 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Добрый день ещё раз!!! По советам,которые были написаны в этом топике я сделал перехват процедуры логина юзеров в базу.Но Это мне сейчас не сильно помогло))) Вообщем из таблицы поудаляли записи,и я не могу понять кто напортачил))) потому что в логе передначалом транзакции неописано подключение... Вообщем ребята,прикрепляю фрагмент Лога и прошу,кто то может объяснить кто удалял записи из таблицы F_PAROM(удалений зафиксировано около 40 ,точно не считал-не заметить трудно))))) Или обьясните пожалуйста по чём вы это определили в Этом логе И если не сложно--Где почитать про расшифровку????(что-чего означает??) Заранее спасибо!!! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 17:07 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84 wrote: > Вообщем ребята,прикрепляю фрагмент Лога и прошу,кто то может объяснить > кто удалял записи из таблицы F_PAROM(удалений зафиксировано около 40 > ,точно не считал-не заметить трудно))))) > Или обьясните пожалуйста по чём вы это определили в Этом логе > И если не сложно--Где почитать про расшифровку????(что-чего означает??) Гыыы... я, конечно, понял, кто удалял, но вот объяснять каждому встречному . Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 17:19 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Dim2000 Andreas_84 wrote: > Вообщем ребята,прикрепляю фрагмент Лога и прошу,кто то может объяснить > кто удалял записи из таблицы F_PAROM(удалений зафиксировано около 40 > ,точно не считал-не заметить трудно))))) > Или обьясните пожалуйста по чём вы это определили в Этом логе > И если не сложно--Где почитать про расшифровку????(что-чего означает??) Гыыы... я, конечно, понял, кто удалял, но вот объяснять каждому встречному . Posted via ActualForum NNTP Server 1.4 Хорошо не говори кто!!)))),Подскажи тогда куда смотреть,Ведь перед этими делитами нет коннекта))Точнее есть,но они закрываются Commit Work-ом))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 17:38 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84 wrote: > они закрываются Commit Work-ом))) Убей того, кто тебе это сказал. Commit - это не Disconnect. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 17:50 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Dim2000 Andreas_84 wrote: > они закрываются Commit Work-ом))) Убей того, кто тебе это сказал. Commit - это не Disconnect. Posted via ActualForum NNTP Server 1.4 Ну тогда Это что Dremova?,Так у неё прав даже на Select к этой таблице нет))!!! А как в логе описывается Disconnect? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 18:07 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84Ну тогда Это что Dremova?,Так у неё прав даже на Select к этой таблице нет))!!!Читаешь лог не правильно. Не Dremova а Grebenyuk. В общем, открываем лог и ищем команду которая сотворила в базе что-то нехорошее (или хорошее). В данном случае ищешь команду DELETE. Нашел? Теперь смотри на одну строчку выше команды. Там будет запись c двумя минусами в начале --DELETE-1057-0155737528 Что эта строка означает? Она значит, что коннект с номером 1057 (вторая цифра) дал команду DELETE и эта команда записана в логе по адресу 0155737528 (третья цифра). Теперь чтобы узнать кто именно дал эту команду досатоточно просканировать лог в обратном направлении до комментария который начинается со слов: --CONNECT-1057-... 1057 это номер коннекта. Дальше в этой строке будет смещение лога, имя юзера (его логин) и время коннекта. Andreas_84А как в логе описывается Disconnect?Disconnect в логе не регестрируется. Его можно только опосредованно обнаружить - найти последний commit с этим же номером коннекта. Но если юзер после этого еще наделал кучу делов а потом откатил их, либо просто висел и занимал сеть пустым трафиком, то этого ты не обнаружишь по логу. Для этого надо будет писать собственную систему аудита - для регистрации логина лучше всего перехватить login_procedure, для регистрации конца связи можно написать event. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 19:51 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
White OwlЧитаешь лог не правильно. Не Dremova а Grebenyuk. И не Grebenyuk, а ipd с адреса 192.168.2.13. Кстати, а что, на DBA.f_parom нет первичного ключа? White OwlНо если юзер после этого еще наделал кучу делов а потом откатил их ...то его тоже можно разоблачить ;). Если нужно . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.07.2008, 22:45 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Dim2000 White OwlЧитаешь лог не правильно. Не Dremova а Grebenyuk. И не Grebenyuk, а ipd с адреса 192.168.2.13.эээ.... Ну если под микроскоп надо брать кучу DELETE команд, то да. Я просто самый первый delete рассматривал. Он тоже по случайному был выполнен коннектом под номером 1057. Наверное между этими двумя коннектами база была перезагружена? .... смотрим.... 21-го июня был последний коннект от Dremova в 11:47 а 16-го июля в 13:45 пришел некий HQ и коннекты начали считаться заново - можно предположить что в промежутке база была выключенна. Забавно что в логе есть всего два места где делаются удаления и оба они попали на коннект с одинаковым номером. Хоть и в разные дни и от разных юзеров. Dim2000 White OwlНо если юзер после этого еще наделал кучу делов а потом откатил их...то его тоже можно разоблачить ;). Если нужно .Если пользоваться только одни логом базы, то нельзя. Со своим собственным аудитом можно будет конечно. А на основе только одного транзакционного лога - нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.07.2008, 00:34 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Ребята,спасибо конечно но я вам выложил только часть лога,а вот если просмотреть его ещё немного выше,то я например нашёл --CONNECT-1057- и под этим номером коннектились очень разные пользователи)))я штук 6 разных насчитал(и это только за несколько часов работы).сервер БД не перезагружался.... Может это связано както с этим самым "неким" HQ?Так я вам могу сказать что это репликационный пользователь(Publisher)// ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.07.2008, 10:36 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
White Owl wrote: > Если пользоваться только одни логом базы, то нельзя. Можно транслировать с включением незакоммиченных транзакций. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.07.2008, 11:02 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Andreas_84 wrote: > просмотреть его ещё немного выше,то я например нашёл --CONNECT-1057- и > под этим номером коннектились очень разные пользователи Ну и [beep] с ним ;). Сервер эти номера назначает каким-то своим методом. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.07.2008, 11:03 |
|
||
|
Просмотр Log-a!!!!ASA7
|
|||
|---|---|---|---|
|
#18+
Dim2000 Andreas_84 wrote: > просмотреть его ещё немного выше,то я например нашёл --CONNECT-1057- и > под этим номером коннектились очень разные пользователи Ну и [beep] с ним ;). Сервер эти номера назначает каким-то своим методом. Posted via ActualForum NNTP Server 1.4 то есть надо смотреть ближайший Сonnect "сверху" от злополучной команды c таким же номером,да??А где про это почитать можно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.07.2008, 11:11 |
|
||
|
|
start [/forum/topic.php?fid=55&msg=35435282&tid=2011484]: |
0ms |
get settings: |
8ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
352ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
36ms |
get tp. blocked users: |
1ms |
| others: | 236ms |
| total: | 660ms |
| 0 / 0 |
