CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章Oracle如何找到引起账号锁定的IP的一点思考与总结由作者收集整理，如果你对这篇文章有兴趣，记得点赞哟.

  。

在ORACLE数据库中，如果没有修改过FAILED_LOGIN_ATTEMPTS的话，默认10次输入错误密码后就会锁住用户.

1. SQL> SELECT *  
2.   2  FROM DBA_PROFILES 
3.   3  WHERE RESOURCE_NAME='FAILED_LOGIN_ATTEMPTS'; 
4.  
5. PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT 
6. ------------------------------ -------------------------------- -------- ---------------------------------------- 
7. DEFAULT                        FAILED_LOGIN_ATTEMPTS            PASSWORD 10 
8. MONITORING_PROFILE             FAILED_LOGIN_ATTEMPTS            PASSWORD UNLIMITED 
9.  
10. SQL> 

那么在数据库维护过程中，如果出现账号被锁定的情况，如何事后分析是那个IP或主机导致账号被锁定了呢?不同的情形有不同的分析方法，主要看是否开启了数据库审计功能 。

开启了数据库审计

  。

如果开了审计功能的话，这个分析定位就非常简单容易。因为数据库的审计功能会记录这些信息到数据库当中.

检查是否开启审计，主要查看audit_sys_operations参数是否为TRUE.

1. SQL> show parameter audit 
2.  
3. NAME                                 TYPE        VALUE 
4. ------------------------------------ ----------- ------------------------------ 
5. audit_file_dest                      string      /u01/app/oracle/admin/gsp/adum 
6.                                                  p 
7. audit_sys_operations                 boolean     TRUE 
8. audit_syslog_level                   string 
9. audit_trail                          string      DB_EXTENDED 
10. SQL>  

如果开启了审计功能，通过下面SQL语句就能轻松找到引起账号锁定的主机(通过主机找到具体IP地址) 。

----RETURNCODE=1017表示登录失败返回ORA-01017: invalid username/password; logon denied错误的会话信息.

1. SELECT USERNAME 
2.       ,USERHOST 
3.       ,TIMESTAMP 
4.       ,RETURNCODE 
5. FROM dba_audit_session 
6. WHERE USERNAME='TEST' 
7.  AND RETURNCODE='1017'  
8. ORDER BY TIMESTAMP DESC; 

数据库审计关闭

如果数据库审计功能是关闭的情况下，那么能否定位、找到导致账号锁定的主机或IP地址呢?如果出现账号被锁的情况，可以先查一下dba_users视图，看看账号是在什么时间点被锁定的。注意(有些版本有Bug，会出现LOCK_DATE不准确的情况。) 。

1. SQL> ALTER SESSION SET NLS_DATE_FORMAT='YYYY-MM-DD HH24:MI:SS'; 
2.  Session altered. 
3. SQL> SELECT username, account_status,lock_date, PROFILE  
4.   2  FROM dba_users WHERE username='TEST'; 
5.  
6. USERNAME                       ACCOUNT_STATUS                   LOCK_DATE           PROFILE 
7. ------------------------------ -------------------------------- ------------------- ---------- 
8. TEST                           LOCKED(TIMED)                    2018-06-16 23:49:14 DEFAULT 
9.  
10. SQL>  

网上有些文章信誓旦旦的宣称通过监听日志可以分析出哪些IP导致账号被锁定了，但是经过动手实验分析，发现通过监听日志文件根本无法定位引起账号锁定的IP地址，原因有两个:

1、 无法通过监听日志判断登录会话是否出现ORA-01017错误，因为登录成功与登录失败遭遇ORA-01017错误的会话的监听日志信息是一样。无法区别.

2、 即使账号锁定的时间能定位到秒，但是生产环境中，一秒内有大量的监听日志生成，根本无法定位是哪一个具体IP 。

3、 登录失败的监听日志可能不是连续的。而是在一段时间生成的.

不过如果事前你定义了数据库触发器，那么就可以轻松定位到具体IP， 网友提供了一个触发器，如下所示:

1. CREATE OR REPLACE TRIGGER sys.logon_denied_to_alert 
2.   AFTER servererror ON DATABASE 
3. DECLARE 
4.   message   VARCHAR2(168); 
5.   ip        VARCHAR2(15); 
6.   v_os_user VARCHAR2(80); 
7.   v_module  VARCHAR2(50); 
8.   v_action  VARCHAR2(50); 
9.   v_pid     VARCHAR2(10); 
10.   v_sid     NUMBER; 
11.   v_program VARCHAR2(48); 
12.   v_username VARCHAR2(32); 
13. BEGIN 
14.   IF (ora_is_servererror(1017)) THEN 
15.     -- get ip FOR remote connections : 
16.     IF upper(sys_context('userenv', 'network_protocol')) = 'TCP' THEN 
17.       ip := sys_context('userenv', 'ip_address'); 
18.     END IF; 
19.     SELECT sid INTO v_sid FROM sys.v_$mystat WHERE rownum < 2; 
20.     SELECT p.spid, v.program 
21.       INTO v_pid, v_program 
22.       FROM v$process p, v$session v 
23.      WHERE p.addr = v.paddr 
24.        AND v.sid = v_sid; 
25.     v_os_user := sys_context('userenv', 'os_user'); 
26.     v_username := sys_context('userenv','authenticated_identity'); 
27.     dbms_application_info.read_module(v_module, v_action); 
28.     message := to_char(SYSDATE, 'YYYY-MM-DD HH24:MI:SS') || 
29.                ' Password Erro: logon denied from ' || nvl(ip, 'localhost') || ' ' || 
30.                v_pid || ' User:' || v_os_user || ' with ' || v_program || ' – ' || 
31.                v_module || ' ' || v_action||' dbuser:' || v_username; 
32.     sys.dbms_system.ksdwrt(2, message); 
33.   END IF; 
34. END; 
35. / 

在客户端使用SQL*Plus测试，模拟输入错误的密码登录数据库 。

1. C:\Users>sqlplus test/1234@myvm 
2.  
3. SQL*Plus: Release 11.2.0.1.0 Production on 星期日 6月 17 00:35:21 2018 
4.  
5. Copyright (c) 1982, 2010, Oracle.  All rights reserved. 
6.  
7. ERROR: 
8. ORA-01017: invalid username/password; logon denied 

此时，触发器捕获到这个错误，就会在告警日志中生成类似下面这样的错误日志信息:

1. Sun Jun 17 08:01:44 2018 
2. 2018-06-17 08:01:44 Password Erro: logon denied from 192.168.125.193 26639 User:KongLB with sqlplus.exe ��� sqlplus.exe  dbuser:test 

当然，如果你也可以改写该触发器，将捕获的相关信息写入数据库相关表。目前，我是将登陆失败的信息写入告警日志，监控告警日志(alert_$ORACLE_SID.log)的作业则会将分析告警日志，定期将错误解析出来，发送给DBA.

本文转载自微信公众号「DBA闲思杂想录」，作者潇湘隐者。转载本文请联系DBA闲思杂想录公众号.

原文链接：https://mp.weixin.qq.com/s/-xku9ZnsEHBqZbgaTBl5OQ 。

最后此篇关于Oracle如何找到引起账号锁定的IP的一点思考与总结的文章就讲到这里了,如果你想了解更多关于Oracle如何找到引起账号锁定的IP的一点思考与总结的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！ 。