Oracle AWR运行日志分析工具详解

Oracle AWR运行日志分析工具详解

在Oracle数据库学习和使用中，遇到性能问题，首要的步骤就是导出AWR分析报告，AWR 是Oracle的一个脚本工具，通过周期性快照记录下当时的所有运行数据，数据库管理员可以导出其中一部分数据进行分析，从而找出来哪些脚本导致了目前的数据性能问题。一般情况下，安装完Oracle 服务端后，默认都会有这个脚本工具(在数据库管理员HOME目录下)，进入到sqlplus，然后直接运行@awrrpt脚本，按照提示操作就可以完成日志导出，导出的格式包括txt格式和html格式两种。

AWR是Oracle 10g版本推出的新特性，全称叫Automatic Workload Repository自动负载信息库。AWR是通过对比两次快照收集到的统计信息，来生成报表数据，生成的报表包括多个部分。下面将对AWR报告的关键部分做详细的讲解。

Workload Repository Report

DBTime不包括Oracle后台进程消耗的时间。如果DB Time远远小于Elapsed时间，说明数据库比较空闲。DBTime= CPU time + Wait time(不包含空闲等待)，DB time就是记录的服务器花在数据库运算(非后台进程)和等待(非空闲等待)上的时间:DB time = CPU time + all of nonidle wait event time。

如图，在79分钟里(其间收集了3次快照数据)，数据库耗时11分钟，RDA数据中显示系统有8个逻辑CPU(4个物理CPU)，平均每个CPU耗时1.4分钟，CPU利用率只有大约2%(1.4/ 79)，说明系统压力非常小。

如上例子，假设服务器是AIX的系统，4个双核CPU(共8个核)，Report A在Snapshot间隔中总共约60分钟，CPU就共有60*8=480分钟，DB time为466.37分钟。说明CPU花费了466.37

分钟在处理Oralce非空闲等待和运算上(比方逻辑读)，也就是说CPU有 466.37/480*100% 花费在处理Oracle的操作上，这还不包括后台进程。Report B总共约60分钟，CPU有19.49/480*100% 花费在处理Oracle的操作上，很显然平均负载很低。

从AWR Report的Elapsed time和DB Time就能大概了解DB的负载情况。

对于批量系统，数据库的工作负载总是集中在一段时间内。如果快照周期不在这一段时间内，或者快照周期跨度太长而包含了大量的数据库空闲时间，所得出的分析结果是没有意义的。这也说明选择分析时间段很关键，要选择能够代表性能问题的时间段。

Cache Sizes

显示SGA中每个区域的大小(在AMM改变它们之后)，可用来与初始参数值比较。

Shared pool主要包括Library cache和Dictionary cache。Library cache用来存储最近解析(或编译)后SQL、PL/SQL和Java Classes等。Dictionary cache用来存储最近引用的数据字典。发生在Library cache或Dictionary cache的cache miss代价要比发生在Buffer cache的代价高得多。因此Shared pool的设置要确保最近使用的数据都能被cache。

Load Profile

显示数据库负载概况，将之与基线数据比较才具有更多的意义，如果每秒或每事务的负载变化不大，说明应用运行比较稳定。单个的报告数据只说明应用的负载情况，绝大多数据并没有一个所谓“正确”的值，然而Logons大于每秒1~2个、Hard parses大于每秒100、全部parses超过每秒300表明可能有争用问题。

?Redo size：每秒产生的日志大小(单位字节)，可标志数据变更频率, 数据库任务的繁重与否。?Logical reads：代表每秒/每事务逻辑读的块数。平决每秒产生的逻辑读的block数。

?Block changes：代表每秒/每事务修改的块数。

?Physical reads：代表每秒/每事务物理读的块数。

?Physical writes：代表每秒/每事务物理写的块数。

?User calls：每秒/每事务用户call次数。

?Parses：SQL解析的次数，包括fast parse，soft parse和hard parse三种数量的综合。软解析每秒超过300次意味着你的"应用程序"效率不高，fast parse指的是直接在PGA中命中的情况，soft parse是指在shared pool中命中的情形；hard parse则是指都不命中的情况。?Hard parses：其中硬解析的次数，硬解析太多，说明SQL重用率不高。

?Sorts：每秒/每事务的排序次数

?Logons：每秒/每事务登录的次数

?Executes：每秒/每事务SQL执行次数

?Transactions：每秒事务数.每秒产生的事务数，反映数据库任务繁重与否。

? Blocks changed per Read：表示逻辑读用于修改数据块的比例.在每一次逻辑读中更改的块的百分比。

?Recursive Call：递归调用占所有操作的比率.递归调用的百分比，如果有很多PL/SQL，那么这个值就会比较高。

?Rollback per transaction：每事务的回滚率.看回滚率是不是很高，因为回滚很耗资源 ,如果回滚率过高,可能说明你的数据库经历了太多的无效操作 ,过多的回滚可能还会带来Undo

Block的竞争。

?Rows per Sort：每次排序的行数

Oracle的硬解析和软解析

提到软解析(soft prase)和硬解析(hard prase)，就不能不说一下Oracle对sql的处理过程。当你发出一条sql语句交付Oracle，在执行和获取结果前，Oracle对此SQL将进行几个步骤的处理过程。

?1、语法检查(syntax check):检查此sql的拼写是否语法。

?2、语义检查(semantic check): 诸如检查sql语句中的访问对象是否存在及该用户是否具备相应的权限。

?3、对sql语句进行解析(prase):利用内部算法对sql进行解析，生成解析树(parse tree)及执行计划(execution plan)。

?4、执行sql，返回结果(execute and return)。

其中软、硬解析就发生在第三个过程里。Oracle利用内部的hash算法来取得该sql的hash值，然后在library cache里查找是否存在该hash值。

?假设存在，则将此sql与cache中的进行比较；

?假设“相同”，就将利用已有的解析树与执行计划，而省略了优化器的相关工作。这也就是软解析的过程。

?如果上面的2个假设中任有一个不成立，那么优化器都将进行创建解析树、生成执行计划的动作。这个过程就叫硬解析。

?创建解析树、生成执行计划对于sql的执行来说是开销昂贵的动作，所以，应当极力避免硬解析，尽量使用软解析。

Instance Efficiency Percentages

包含了Oracle关键指标的内存命中率及其它数据库实例操作的效率(OLAP是主要应用数据仓库系统，OLTP是一般的项目开发用到的基本的、日常的事务处理，比如数据库记录的增、删、改、查)。其中Buffer Hit Ratio 也称Cache Hit Ratio，Library Hit ratio也称Library Cache Hit ratio。同Load Profile一节相同，这一节也没有所谓“正确”的值，而只能根据应用的特点判断是否合适。

在一个使用直接读执行大型并行查询的DSS环境，20%的Buffer Hit Ratio是可以接受的，而这个值对于一个OLTP系统是完全不能接受的。根据Oracle的经验，对于OLTP系统，Buffer Hit Ratio 理想应该在90%以上。

Buffer Nowait表示在内存获得数据的未等待比例。在缓冲区中获取Buffer的未等待比率。Buffer Nowait的这个值一般需要大于99%。否则可能存在争用，可以在后面的等待事件中进一步确认。

Buffer Hit表示进程从内存中找到数据块的比率，监视这个值是否发生重大变化比这个值本身更重要。对于一般的OLTP系统，如果此值低于80%，应该给数据库分配更多的内存。数据块在数据缓冲区中的命中率，通常应在95%以上。

但是，一个高的命中率，不一定代表这个系统的性能是最优的，比如大量的非选择性的索引被频繁访问，就会造成命中率很高的假相，但是一个比较低的命中率，一般就会对这个系统的性能产生影响，需要调整。命中率的突变，往往是一个不好的信息。如果命中率突然增大，可以检查top buffer

get SQL，查看导致大量逻辑读的语句和索引，如果命中率突然减小，可以检查top physical reads SQL，检查产生大量物理读的语句(主要是那些没有使用索引或者索引被删除的)。

Redo NoWait表示在Log缓冲区获得Buffer的未等待比例。如果太低可考虑增加Log Buffer。当redo buffer达到1M时就需要写到redo log文件，所以一般当redo buffer设置超过1M，不太可能存在等待buffer空间分配的情况。当前，一般设置为2M的redo buffer，对于内存总量来说，应该不是一个太大的值。

Library Hit表示Oracle从Library Cache中检索到一个解析过的SQL或PL/SQL语句的比率，当应用程序调用SQL或存储过程时，Oracle检查Library Cache确定是否存在解析过的版本，如果存在Oracle立即执行语句；如果不存在Oracle解析此语句，并在Library Cache中为它分配共享SQL区。低的Library Hit Ratio会导致过多的解析，增加CPU消耗，降低性能。如果Library Hit Ratio 低于90%，可能需要调大Shared pool区。

Latch Hit：Latch是一种保护内存结构的锁，可以认为是Server进程获取访问内存数据结构的许可。要确保Latch Hit>99%，否则意味着Shared Pool latch争用，可能由于未共享的SQL，或者Library Cache太小，可使用绑定变更或调大Shared Pool解决。要确保>99%，否则存在严重的性能问题。当该值出现问题的时候，我们可以借助后面的等待时间和latch分析来查找解决问题。

?Parse CPU to Parse Elapsd：解析实际运行时间/(解析实际运行时间+解析中等待资源时间)，越高越好。如果该比率为100%，意味着CPU等待时间为0，没有任何等待。

?Non-Parse CPU ：SQL实际运行时间/(SQL实际运行时间+SQL解析时间)，太低表示解析消耗时间过多。如果这个值比较小，表示解析消耗的CPU时间过多。

?Execute to Parse：是语句执行与分析的比例，如果要SQL重用率高，则这个比例会很高。

该值越高表示一次解析后被重复执行的次数越多。

?In-memory Sort：在内存中排序的比率，如果过低说明有大量的排序在临时表空间中进行。

考虑调大PGA(10g)。如果低于95%，可以通过适当调大初始化参数

PGA_AGGREGATE_TARGET或者SORT_AREA_SIZE来解决，注意这两个参数设置作用的范围时不同的，SORT_AREA_SIZE是针对每个session设置的，PGA_AGGREGATE_TARGET

则时针对所有的sesion的。

?Soft Parse：软解析的百分比(Softs/Softs+Hards)，近似当作sql在共享区的命中率，太低则需要调整应用使用绑定变量。sql在共享区的命中率，小于<95%,需要考虑绑定，如果低于80%，那么就可以认为sql基本没有被重用。

Shared Pool Statistics

?Memory Usage %：对于一个已经运行一段时间的数据库来说，共享池内存使用率，应该稳定在75%-90%间，如果太小，说明Shared Pool有浪费，而如果高于90，说明共享池中有争用，内存不足。这个数字应该长时间稳定在75%～90%。如果这个百分比太低，表明共享池设置过大，带来额外的管理上的负担，从而在某些条件下会导致性能的下降。如果这个百分率太高，会使共享池外部的组件老化，如果SQL语句被再次执行，这将使得SQL语句被硬解析。在一个大小合适的系统中，共享池的使用率将处于75%到略低于90%的范围内。

?SQL with executions>1：执行次数大于1的sql比率，如果此值太小，说明需要在应用中更多使用绑定变量，避免过多SQL解析。在一个趋向于循环运行的系统中，必须认真考虑这个数字。在这个循环系统中，在一天中相对于另一部分时间的部分时间里执行了一组不同的SQL语句。在共享池中，在观察期间将有一组未被执行过的SQL语句，这仅仅是因为要执行它们的语句在观察期间没有运行。只有系统连续运行相同的SQL语句组，这个数字才会接近100%。

?Memory for SQL w/exec>1：执行次数大于1的SQL消耗内存的占比。这是与不频繁使用的SQL语句相比，频繁使用的SQL语句消耗内存多少的一个度量。这个数字将在总体上与% SQL with executions>1非常接近，除非有某些查询任务消耗的内存没有规律。在稳定状态下，总体上会看见随着时间的推移大约有75%～85%的共享池被使用。如果Statspack报表的时间窗口足够大到覆盖所有的周期，执行次数大于一次的SQL语句的百分率应该接近于

100%。这是一个受观察之间持续时间影响的统计数字。可以期望它随观察之间的时间长度增大而增大。

Top 5 Timed Events

通过Oracle的实例有效性统计数据，我们可以获得大概的一个整体印象，然而我们并不能由此来确定数据运行的性能。当前性能问题的确定，我们主要还是依靠下面的等待事件来确认。

我们可以这样理解两部分的内容，Hit统计帮助我们发现和预测一些系统将要产生的性能问题，由此我们可以做到未雨绸缪。而wait事件，就是表明当前数据库已经出现了性能问题需要解决，所以是亡羊补牢的性质。

上面显示了系统中最严重的5个等待，按所占等待时间的比例倒序列示。当我们调优时，总希望观察到最显著的效果，因此应当从这里入手确定我们下一步做什么。

如果Buffer Busy Wait是较严重的等待事件，我们应当继续研究报告中Buffer Wait和File/Tablespace IO区的内容，识别哪些文件导致了问题。

?如果最严重的等待事件是I/O事件，我们应当研究按物理读排序的SQL语句区以识别哪些语句在执行大量I/O，并研究Tablespace和I/O区观察较慢响应时间的文件。

?如果有较高的LATCH等待，就需要察看详细的LATCH统计识别哪些LATCH产生的问题。

一个性能良好的系统，CPU Time应该在Top 5的前面，否则说明你的系统大部分时间都用在等待上。在这里Log file parallel write是相对比较多的等待，占用了7%的CPU时间。通常，在没有问题的数据库中，CPU time总是列在第一个。

详解Windows Server 2008安全日志

建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面，首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊，弊的方面在于，除非用户强迫计算机开始日志记录安全事件，否则根本无法进行任何追踪。好的方面在于，不会发生日志信息爆满的问题以及提示日志已满的错误信息，这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置，当然你可以配置本地组策略对象，但是这样的话，你将需要对每台计算机进行单独配置。另外，你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪，首先打开连接到域的计算机上的Group Policy Management Console (GPMC，组策略管理控制台)，并以管理员权限登录。在GPMC中，你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上)，在本文中，我们将假设你有一个OU，这个OU中包含所有需要追踪相同安全日志信息的计算机，我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点： Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍： 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计，计算机执行该审计是为了验证帐户，关于这一点的最好例子就是，当用户登录到他们的Windows XP Professional计算机上，总是由域控制器来进行身份验证。由于域控制器对用户进行了验证，这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外，没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现，在很多环境中，客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计，这些事件的示例如下： ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言，该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言，它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外，没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计，安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计，AD对象的SACL指明了以下三件事： ·将会被追踪的帐户(通常是用户或者组)

检索报告格式(谷风软件)

专业（班级） 姓名学号 检索报告（综合作业） 一、检索课题： 二、检索数据库（选中外文数据库至少4个，至少有2个外文数据库，其中外文数据库必须 有一个二次文献数据库） 可选数据库（请在你选择的数据库号码上打钩或将检索的留下，检索时间尽量近几年）：华工购买的数据库： 1、维普中文科技期刊全文数据库1989-2012 2、中国期刊全文数据库1994-2012 3、中国博士学位论文全文数据库1999-2012 4、中国优秀硕士学位论文全文数据库1999-2012 5、万方中国科技成果数据库1986-2012 6、万方学位论文全文数据库1989-2012 7、万方学术会议论文全文数据库1993-2012 8、美国工程索引EI 1970-2012 9、科学引文索引SCI 1974-2012 10、科学技术会议索引ISTP 1996-2012 11、德温特专利全文数据库DII 1994-2012 12、博硕士论文数据库PQDT 1861-2012 13、英国科学文摘Inspec 1969-2012 14、Elsevier全文电子期刊1995-2012 15、IEEE/IEE Electronic library(IEL) 1988-2012 16、Kluwer 全文电子期刊1997-2012 网络免费数据库： 18、中国专利数据库1985-2011 19、欧洲专利全文数据库1966-2011 20、美国专利全文数据库1976-2011 如选择其它数据库请列出数据库名称和时间。 三、关键词 中文外文 超宽带ultra-wideband;ultra wideband;ultra-wide band 通信communication;communications;telecom 电磁electromagnetic;electromagnetism;magnetic

大数据分析的六大工具介绍

大数据分析的六大工具介绍 2016年12月 一、概述 来自传感器、购买交易记录、网络日志等的大量数据，通常是万亿或EB的大小，如此庞大的数据，寻找一个合适处理工具非常必要，今天我们为大家分学在大数据处理分析过程中六大最好用的工具。 我们的数据来自各个方面，在面对庞大而复杂的大数据，选择一个合适的处理工具显得很有必要，工欲善其事，必须利其器，一个好的工具不仅可以使我们的工作事半功倍，也可以让我们在竞争日益激烈的云计算时代，挖掘大数据价值，及时调整战略方向。 大数据是一个含义广泛的术语，是指数据集，如此庞大而复杂的，他们需要专门设il?的硬件和软件工具进行处理。该数据集通常是万亿或EB的大小。这些数据集收集自各种各样的来源:传感器、气候信息、公开的信息、如杂志、报纸、文章。大数据产生的其他例子包括购买交易记录、网络日志、病历、事监控、视频和图像档案、及大型电子商务。大数据分析是在研究大量的数据的过程中寻找模式, 相关性和其他有用的信息，可以帮助企业更好地适应变化，并做出更明智的决策。 二.第一种工具:Hadoop Hadoop是一个能够对大量数据进行分布式处理的软件框架。但是Hadoop是 以一种可黑、高效、可伸缩的方式进行处理的。Hadoop是可靠的，因为它假设计算元素和存储会失败，因此它维护多个工作数据副本，确保能够针对失败的节点重新分布处理。Hadoop 是高效的，因为它以并行的方式工作，通过并行处理加快处理速度。Hadoop还是可伸缩的，能够处理PB级数据。此外，Hadoop依赖于社区服务器，因此它的成本比较低，任何人都可以使用。

Hadoop是一个能够让用户轻松架构和使用的分布式计算平台。用户可以轻松地 在Hadoop上开发和运行处理海量数据的应用程序。它主要有以下儿个优点: ,高可黑性。Hadoop按位存储和处理数据的能力值得人们信赖。，高扩展性。Hadoop是 在可用的计?算机集簇间分配数据并完成讣算任务 的，这些集簇可以方便地扩展到数以千计的节点中。 ，高效性。Hadoop能够在节点之间动态地移动数据，并保证各个节点的动 态平衡，因此处理速度非常快。 ，高容错性。Hadoop能够自动保存数据的多个副本，并且能够自动将失败 的任务重新分配。 ,Hadoop带有用Java语言编写的框架，因此运行在Linux生产平台上是非 常理想的。Hadoop上的应用程序也可以使用其他语言编写，比如C++。 第二种工具:HPCC HPCC, High Performance Computing and Communications（高性能计?算与通信）的缩写° 1993年，山美国科学、工程、技术联邦协调理事会向国会提交了“重大挑战项 U：高性能计算与通信”的报告，也就是被称为HPCC计划的报告，即美国总统科学战略项U ,其U的是通过加强研究与开发解决一批重要的科学与技术挑战 问题。HPCC是美国实施信息高速公路而上实施的计?划，该计划的实施将耗资百亿 美元，其主要U标要达到:开发可扩展的计算系统及相关软件，以支持太位级网络 传输性能，开发千兆比特网络技术，扩展研究和教育机构及网络连接能力。

系统安全防范之Windows日志与入侵检测

系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮； (3)在“Internet服务管理员”页中单击“WWW管理”； (4)在“WWW管理”页中单击“日志”选项卡； (5)选中“启用日志”复选框，并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类： 系统日志：跟踪各种各样的系统事件，记录由Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。

使用perconna慢查询日志分析工具

使用perconna慢查询日志分析工具 第一部分：安装percona-toolkit 一、环境 linux（不支持windows） 二、快速安装 （我使用的，用成功了） wget https://https://www.wendangku.net/doc/fc9288644.html,/downloads/percona-toolkit/2.2.16/RPM/percona-toolkit-2.2.16-1.noarch.rpm && yum localinstall -y percona-toolkit-2.2.16-1.noarch.rpm 三、源码安装 （网上还有这种装法，本人linux白痴一个，没敢用这么复杂方法，不知道此方法可行不，有兴趣的可以试下）： wget https://https://www.wendangku.net/doc/fc9288644.html,/downloads/percona-toolkit/2.2.14/tarball/perc ona-toolkit-2.2.14.tar.gz tar -zxvf percona-toolkit-2.2.14.tar.gz cd percona-toolkit-2.2.14 #cat Makefile.PL #cat README perl Makefile.PL make make test make install /usr/local/bin/pt-query-digest /opt/tuniu/mysql/data/slow-query.log 第二部分：语法及重要选项 一、语法 pt-query-digest [OPTIONS] [FILES] [DSN] 二、重要选项

--create-review-table 当使用--review参数把分析结果输出到表中时，如果没有表就自动创建。 --create-history-table 当使用--history参数把分析结果输出到表中时，如果没有表就自动创建。 --filter 对输入的慢查询按指定的字符串进行匹配过滤后再进行分析 --limit限制输出结果百分比或数量，默认值是20,即将最慢的20条语句输出，如果是50%则按总响应时间占比从大到小排序，输出到总和达到50%位置截止。--host mysql服务器地址 --user mysql用户名 --password mysql用户密码 --history将分析结果保存到表中，分析结果比较详细，下次再使用--history 时，如果存在相同的语句，且查询所在的时间区间和历史表中的不同，则会记录到数据表中，可以通过查询同一CHECKSUM来比较某类型查询的历史变化。 --review将分析结果保存到表中，这个分析只是对查询条件进行参数化，一个类型的查询一条记录，比较简单。当下次使用--review时，如果存在相同的语句分析，就不会记录到数据表中。 --output分析结果输出类型，值可以是report(标准分析报告)、 slowlog(Mysql slow log)、json、json-anon，一般使用report，以便于阅读。--since从什么时间开始分析，值为字符串，可以是指定的某个”yyyy-mm-dd [hh:mm:ss]”格式的时间点，也可以是简单的一个时间值：s(秒)、h(小时)、m(分钟)、d(天)，如12h就表示从12小时前开始统计。 --until截止时间，配合—since可以分析一段时间内的慢查询。 第三部分：用法示例 你用第一次pt-query-digest命令的时候，系统会提示你安装它，然后根据它的提示一步一步走下去就好了； 安装完成之后就可以用这个的命令了； 一、直接分析慢查询文件: pt-query-digest slow.log > slow_report.log 二、分析最近12小时内的查询： pt-query-digest --since=12h slow.log > slow_report2.log 三、分析指定时间范围内的查询： pt-query-digest slow.log --since ‘2014-04-17 09:30:00‘ --until ‘2014-04-17 10:00:00‘> > slow_report3.log 四、分析指含有select语句的慢查询 pt-query-digest--filter ‘$event->{fingerprint} =~ m/^select/i‘ slow.log> slow_report4.log

windows系统日志与入侵检测详解-电脑教程

windows系统日志与入侵检测详解 -电脑教程.txt我很想知道，多少人分开了，还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你！待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志：当人们出海远行地时候，总是要做好航海日志，以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在地系统入侵作出记录和预测，但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件，首先就要从它地特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等，都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下，可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现，你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个；若存在地话，将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了，包括日志文件?但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己地入侵踪迹，就必须对日志进行修改 . 最简单地方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己，网络上有很多专门进行此类 功能地程序，例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98，所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志，除非有特殊用途，例如，利用 Windows 98建立个人 Web服务器时，就会需要启用系统日志来作为服务器安全方面地参考，当已利用 Windows 98 建立个人 Web 服务器地用户，可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关地网络协议，并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮； (3＞在“In ternet 服务管理员”页中单击“ WW管理”；

Windows日志文件解读

Windows日志文件完全解读 日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows 的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2．设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。 1．查看正常开关机记录

文献检索报告格式

科技信息检索报告 题目：高性能混凝土早期裂缝的原因与控制方法 学院 专业 完成时间

一、课题的选定与分析 （写出选题原因，相关概念，课题研究现状，拟解决的问题，需要的资料类型等） 高性能混凝土（high performance concrete, HPC）最早于1990 年由美国正式提出,立即受到全世界关注,被称为“21世纪混凝土”。我国1992 年开始重视研发和应用,现已在大城市商品混凝土和重要建筑中较普遍采用。HP C是在大幅度提高普通混凝土性能的基础上采用现代混凝土技术制作的混凝土。它以耐久性作为设计的主要指标，针对不同用途要求，对耐久性、工作性、适用性、强度、体积稳定性和经济性等性能予以重点保证。 混凝土的早期裂缝是混凝土工程质量控制的一个关键点，是影响结构使用功能、外观质量和耐久性的重要因素。由于高性能混凝土一般具有高胶凝材料用量、低水胶比与掺入活性掺合料等配制特点，致使高性能混凝土的硬化特点与部结构，同传统的普通混凝土相比具有很大的差异，随之带来了它的早期体积稳定性差、容易开裂等问题。高性能混凝土在国外的应用实践表明，早期开裂问题已成为制约其在工程中应用的重要因素。因此，改善高性能混凝土的抗裂性是高性能混凝土研究中急需解决的问题。 解决高性能混凝土早期裂缝问题，必须首先了解产生裂缝的原因，因此，本课题拟解决的问题是：（1）了解高性能

混凝土早期裂缝产生的原因；（2）研究探讨控制高性能混凝土裂缝的方法。 该课题需要的文献类型为：学术论文、研究报告、专利文献、标准文献和图书。 需要的文献语种为中文和英文文献。 二、选定检索系统（依据上一步分析得到的学科、资料类型、语种等要求，确定适当的检索系统） 拟选用的文献检索系统为： 三、确定初步检索词，用合适的算符写出检索式（中英文）1．关键词列表

IIS日志分析方法及工具

日志的重要性已经越来越受到程序员的重视,IIS的日志更是不言而喻。 www.eshuba.co m E书吧 IIS日志建议使用W3C扩充日志文件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、UR I查询、协议状态、用户代理，每天要审查日志。如图1所示。 IIS 的WWW日志文件默认位置为%systemroo t%\system32\logfiles\w3svc1\，（例如：我的则是在C:\W IND OW S\system32\LogFiles\W3SVC1\），默认每天一个日志。 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。如图2所示。

如果发现IIS日志再也不记录了，解决办法： 看看你有没有启用日志记录：你的网站--> 属性-->“网站”-->“启用日志”是否勾选。 日志文件的名称格式是：ex+年份的末两位数字+月份+日期。 ( 如2002年8月10日的WWW日志文件是ex020810.log） IIS的日志文件都是文本文件，可以使用任何编辑器或相关软件打开，例如记事本程序，AWStats工具。 开头四行都是日志的说明信息 #So ftware生成软件 #Ve rsion 版本 #Da te 日志发生日期

#Fields 字段，显示记录信息的格式，可由IIS自定义。 日志的主体是一条一条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。 字段解释 data 日期 time 时间 cs-me thod 请求方法 cs-uri-stem 请求文件 cs-uri-q uery请求参数 cs-use rname客户端用户名 c-ip 客户端IP cs-versio n 客户端协议版本 cs(User-Age nt) 客户端浏览器 cs(Refe rer) 引用页 下面列举说明日志文件的部分内容（每个日志文件都有如下的头4行）： #So ftware: Microso ft Interne t Info rma tio n Services 6.0 #Ve rsion: 1.0 #Da te: 2007-09-21 02:38:17

检索报告格式

专业（班级）档案学20141781 姓名练洪妹学号2014178126 检索报告（综合作业） 一、检索课题：大数据时代下科技情报的发展与创新 二、检索数据库（选中外文数据库至少4个，至少有2个外文数据库，其中外文数据库必须 有一个二次文献数据库） 可选数据库（请在你选择的数据库号码上打钩或将检索的留下，检索时间尽量近几年）：华工购买的数据库： 1、CNKI 中国知网2002-2016 2、维普中文科技期刊全文数据库1989-2016 3、Calis馆际互借与文献传递2012-2015 4、英国科学文摘Inspec 1969-2016 5、美国专利全文数据库1976-2016 三、关键词 中文外文 情报intelligence 大数据big data 科技情报技术工作science and technology information technology work 科技创新science and technology innovation 数据环境data environment 四、检索结果（每库不得少于1篇。每篇至少要显示题目、文献出处、文摘） 例： 1、CNKI 中国知网（2002-2016）

或：主题检索 选2篇文献如下： 科技情报技术发展现状与对策研究 【作者】何葳； 【Author】HE Wei;Beijing Institute of science and Technology Information; 【机构】北京市科学技术情报研究所； 【摘要】随着技术的飞速发展,科技创新手段不断进步,科技创新的周期不断缩短,新知识、新技术、新工艺和新产品层出不穷,重复低效的科研开发不仅浪费宝贵的资源,而且也会丧失或错过良好的发展机遇。面对海量信息和科技创新周期不断缩短的挑战,从新的角度对科技创新的科技情报技术需求进行分析,积极探索面向科技创新全过程的科技情报服务能力建设是十分必要的。本文首先从情报的定义出发,论述了我国的科技情报技术工作现状分析了我国的科技情报技术工作中存在的问题,结合科技创新对科技情报的需求分析,文章最后提 出了创建新时期的科技情报技术工作的具体措施。更多还原

Serv-U日志分析工具(sustat)

Serv-U日志分析工具(sustat) 转载 sustat是一个专门用来分析Serv-U生成的log file的工具，其功能强大，而且效率很高，但是因为是完全基于命令行操作的，所以易用性方面不够，对于一些初级用户尤显困难。下面我将简单介绍一下sustat的使用方法，对它的使用参数加以注释，及介绍一些效率提高方法。 示例一：统计各个帐号的使用情况，包括登陆次数，下载上传文件数和数据量，所占百分比等等。这个也是sustat的默认功能（不带任何参数即可）。 引用 sustat redjnuredjnu050401.log 注：红色部分为sustat的主程序，蓝色部分为欲统计的Serv-U log file，我们一般设定log file 每天自动生成，所以日志文件一般以日期命名。此出即统计2005年4月1日的FTP信息。下同。 得到的结果类似下面，包括总的文件下载上传次数和各个不同帐号的登陆次数，下载上传文件数和文件量。 Stats from 01Apr05 000009 to 01Apr05 235958 Users downloaded 1179 files = 146738.39 MB uploaded 13 files = 2013.99 MB User Conx Dfile DMB D% UFile UMB U% ______________________________________________________________________________ 1 TV_ADV 645 491 73111.45 49.82% 0 0.00 0.00% 2 TV 415 348 55100.52 37.55% 0 0.00 0.00% 3 OP_DREAMSKY 9 23 4226.60 2.88% 1 0.00 0.00% 4 MUSIC 84 73 3528.58 2.40% 0 0.00 0.00% 5 JIMEY 5 13 2956.31 2.01% 3 539.58 26.79% 6 TV_JNU 318 4 7 2757.36 1.88% 0 0.00 0.00% 7 GHOUL 18 14 2728.60 1.86% 7 1357.93 67.42% 8 TW 2 17 2147.03 1.46% 0 0.00 0.00% 9 TV_VIP 7 2 153.66 0.10% 0 0.00 0.00% 10 Anonymous 461 151 28.31 0.02% 0 0.00 0.00% 11 TV_LIST 28 0 0.00 0.00% 0 0.00 0.00% 12 OP_K100 1 0 0.00 0.00% 1 59.83 2.97% 13 OP_EDISON 3 0 0.00 0.00% 1 56.64 2.81% ______________________________________________________________________________ 示例二：统计文件下载次数。 sustat redjnuredjnu050401.log -f 10

ELK日志分析系统

ELK日志分析系统 一、ELK日志分析系统介绍 1.1传统的日志统计及分析方式 日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。 通常，日志被分散的储存不同的设备上。如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理，例如：开源的syslog，将所有服务器上的日志收集汇总。 集中化管理日志后，日志的统计和检索又成为一件比较麻烦的事情，一般我们使用grep、awk和wc等Linux命令能实现检索和统计，但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。 1.2 ELK介绍 开源实时日志分析ELK平台能够完美的解决我们上述的问题，ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。 （1）、Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。 （2）、Logstash是一个完全开源的工具，可以对日志进行收集、过滤，并将其存储供以后使用（如：搜索）。 （3）、Kibana 也是一个开源和免费的可视化工具，可以为Logstash 和ElasticSearch 提供的日志分析友好的Web 界面，可以帮助汇总、分析和搜索重要数据日志。 1.2.1 Elasticsearch介绍 Elasticsearch是一个基于Apache Lucene(TM)的开源搜索引擎，Lucene是当前行业内最先进、性能最好的、功能最全的搜索引擎库。但Lucene只是一个库。无法直接使用，必须使用Java作为开发语言并将其直接集成到应用中才可以使用，而且Lucene非常复杂，需要提前深入了解检索的相关知识才能理解它是如何工作的。 Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能，但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性，从而让全文搜索变得简单。 但Elasticsearch不仅仅值是Lucene库和全文搜索，它还有以下用途： ?分布式的实时文件存储，每个字段都被索引并可被搜索 ?分布式的实时分析搜索引擎 ?可以扩展到上百台服务器，处理PB级结构化或非结构化数据

Windows日志文件全解读

一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项

基于Windows日志的安全审计技术研究

收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷　第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22　N o.1Feb.2009

法律检索报告如何撰写(DOC)

范例：法律检索报告如何撰写 法律检索是法律执业者的基础技能。在指导本所实习生学习法律检索时，笔者发现实习生们制作的检索报告格式五花八门、内容杂乱、结论经不起推敲。经检验，发现主要原因在于检索报告的格式没有固定。 检索报告格式不固定，就容易出现检索目的偏移、检索信息疏漏等问题，导致检索做无用功、检索结论也不能作为参考依据；而若固定了检索报告的格式，那么所制作的检索报告就显得有板有眼了，即使出现了问题，也较易发现是在哪个环节发生。 可见，固定检索报告的格式，实有必要。检索报告的格式应该是怎么样子的，此前并无实用范例。已有的关于法律检索的文章，也仅仅提及“检索记录”，但未予细化规范。 在一个法律工作团队的协作中，法律检索工作完成时，应当制作格式统一、内容全面的检索报告，以便于供团队内部参考使用。本文提供撰写检索报告的范例及相应说明，供参考。 检索报告开头应该是什么？如果是案例检索，很多律师认为是“确定案由”；如果是法条检索，那么就认为开头应该写清楚检索的整个背景，比如把案件情况梳理一遍。这是不正确的，因为一份检索报告，最多解决一到两个法律问题。而一个案件的“案由”则起着牵一发而动全身的作用。“确定案由”是要把整个案件研究透，选择更有利的路径解决争议。所以，法律检索一开始就确定案由，本末倒置。另外，载明检索背景也是不必要的，检索报告不能承载太多任务，只能解决一两个问题。交代背景只会让检索报告显得臃肿。所以，检索报告应当着眼于解决似“绊脚石”的法律问题，给出有针对性且精确的办案参考。检索报告不是一个完整分析案件、得出代理思路或策略的工作文书。 比如，下文检索报告范本的制作背景为：某处高速公路建在居民区附近，居民如何维权，能不能获得拆迁安置。这时候案由是侵权纠纷，还是拆迁安置补偿，还是走行政诉讼，还是选择非司法救济途径？无法确定。因为兴建高速公路离居民