一.本文所涉及的內容(Contents)
- 本文所涉及的內容(Contents)
- 背景(Contexts)
- 基礎知識(Rudimentary Knowledge)
- 查看默認跟蹤信息(Default Trace)
- 補充說明(Addon)
- 參考文獻(References)
二.背景(Contexts)
思考這樣的場景:數據庫的表、存儲過程經常別修改,當這些修改造成BUG的時候,很多開發都不承認是他們干的,那我們有沒辦法找出誰干的呢?
SQL Server有Default Trace默認跟蹤,數據庫記錄信息到log.trc文件,可以查看trace_event_id,46表示Create對象(Object:Created),47表示Drop對象(Object:Deleted),93表示日志文件自動增長(Log File Auto Grow),164表示Alter對象(Object:Altered),20表示錯誤日志(Audit Login Failed)。
雖然可以通過上面的方式找到相關的操作,但是它有兩個缺點:
1) log.trc文件是滾動更新文件,所有有可能會被系統刪除,你找不了太久的數據;
2) 有些操作你可能是后知后覺,出了問題才會去找問題,我們應該主動去監控這些DDL;
我們可以使用DDL觸發器主動監控DDL語句的執行,當有對數據庫執行DDL就會觸發,我們把這些信息保存到表中,並且把操作用戶的HostName和修改的T-SQL以郵件的形式發送到指定的郵件。本文將講述使用Default Trace默認跟蹤解決上面的問題,DDL觸發器的方式可以參考:SQL Server DDL觸發器運用 和 SQL Server 數據庫郵件。
三.基礎知識(Rudimentary Knowledge)
默認追蹤是在SQL Server 2005中首次出現的新功能,它提供了審計模式修改的功能,例如表創建、存儲過程刪除等類似過程。默認情況下它是運行的,但是你可以通過sp_configure來啟用和停用它。
默認跟蹤日志可以通過 SQL Server Profiler打開並查看,或者通過 Transact-SQL 使用 fn_trace_gettable 系統函數查詢返回一個表,並且可以對表數據進行過濾、篩選。
默認跟蹤能幫助我們跟蹤什么有用的信息呢?你可以查看到如下幾個內容:
2) 數據庫中那些對象被created /altered /deleted
4) 查看、過濾Login failed for user 'sa'等錯誤信息
四.查看默認跟蹤信息(Default Trace)
下面主要看看在我們日常使用DDL的過程中,默認跟蹤會記錄些什么東西:
(一) 檢查Default Trace是否已經開啟,如果返回Figure1中value為1,那就說明已經開啟默認跟蹤了;如果value為0表示關閉默認跟蹤;
--查詢Default Trace是否開啟 SELECT * FROM sys.configurations WHERE configuration_id = 1568;
(Figure1:default trace enabled信息)
(二) 如果默認跟蹤是關閉的,可以通過下面的方式進行開啟和測試:
--開啟Default Trace sp_configure 'show advanced options' , 1 ; GO RECONFIGURE; GO sp_configure 'default trace enabled' , 1 ; GO RECONFIGURE; GO --測試是否開啟 EXEC sp_configure 'default trace enabled'; GO --關閉Default Trace sp_configure 'default trace enabled' , 0 ; GO RECONFIGURE; GO sp_configure 'show advanced options' , 0 ; GO RECONFIGURE; GO
(三) 獲取當前正在使用的log.trc滾動更新文件的路徑:
--獲取當前跟蹤文件的路徑 SELECT * FROM ::fn_trace_getinfo(0)
(Figure2:log.trc文件路徑)
選項property值代表的意義:
1:trace options,有2(滾動文件)、4、8(黑盒)三個值,請參考sp_trace_create;
2:file name,更准確來說是trace文件的路徑;
3:max file size,設置最大滾動文件大小,當達到這個值就會創建新的滾動文件;
4:stop time,設置trace停止的時間;
5:當前狀態(0=stopped, 1=running) ;
SQL Server2000中,使用fn_trace系列系統存儲過程時,需要在存儲過程名前加"::"標識;SQL Server2000中,僅當跟蹤被停止(stop)並關閉(close)后,跟蹤的內容才會寫入文件中;
(四) 下面測試默認跟蹤是如何跟蹤最常使用的DDL腳本的。首先創建一個測試數據庫TraceDB,再創建一個測試表Trace_log,通過下面的腳本,默認跟蹤記錄了Figure3和Figure4的內容,EventName為Object:Created。
--創建測試數據庫
USE MASTER
GO
CREATE DATABASE TraceDB
--通過創建表產生一個DDL事件
USE TraceDB
GO
CREATE TABLE dbo.Trace_log(
Id INT IDENTITY(1,1) not null,
Sometext CHAR(3) null
)
--Script1:返回剛剛Create操作的信息
-- =============================================
-- Author: <聽風吹雨>
-- Create date: <2013.05.03>
-- Description: <讀取、過濾log.trc文件>
-- Blog: <http://www.cnblogs.com/gaizai/>
-- =============================================
DECLARE @tracefile NVARCHAR(MAX)
SET @tracefile = (SELECT LEFT([path],LEN([path])-CHARINDEX('\',REVERSE([path])))+ '\log.trc' FROM sys.traces WHERE [is_default] = 1)
SELECT TOP 100
gt.[HostName]
,gt.[ServerName]
,gt.[DatabaseName]
,gt.[SPID]
,gt.[ObjectName]
,gt.[objecttype] [ObjectTypeID]
,sv.[subclass_name] [ObjectType]
,e.[category_id] [CategoryID]
,c.[Name] [Category]
,gt.[EventClass] [EventID]
,e.[Name] [EventName]
,gt.[LoginName]
,gt.[ApplicationName]
,gt.[StartTime]
,gt.[TextData]
FROM fn_trace_gettable(@tracefile, DEFAULT) gt
LEFT JOIN sys.trace_subclass_values sv ON gt.[eventclass] = sv.[trace_event_id] AND sv.[subclass_value] = gt.[objecttype]
INNER JOIN sys.trace_events e ON gt.[eventclass] = e.[trace_event_id]
INNER JOIN sys.trace_categories c ON e.[category_id] = c.[category_id]
WHERE gt.[spid] > 50 AND --50以內的spid為系統使用
gt.[DatabaseName] = 'TraceDB' AND --根據DatabaseName過濾
gt.[ObjectName] = 'Trace_log' AND --根據objectname過濾
e.[category_id] = 5 AND --category 5表示對象,8表示安全
e.[trace_event_id] = 46 --trace_event_id 46表示Create對象(Object:Created),47表示Drop對象(Object:Deleted),93表示日志文件自動增長(Log File Auto Grow),164表示Alter對象(Object:Altered),20表示錯誤日志(Audit Login Failed)
ORDER BY [StartTime] DESC
(Figure3:Create事件前半部分信息)
(Figure4:Create事件后半部分信息)
(五) 接着測試修改表所產生的事件跟蹤日志,首先我們人為的生成一個修改表的事件,為Trace_log表添加一列,把上面的Script1腳本Where的e.[trace_event_id] = 46替換為e.[trace_event_id] = 164,這樣就可以查看Alter對象的信息,EventName為Object:Altered。
--通過修改表產生一個DDL事件
USE TraceDB
GO
ALTER TABLE Trace_log
ADD Col INT
--Script2:返回剛剛Alter操作的信息
WHERE gt.[spid] > 50 AND --50y以下的為系統使用
gt.[DatabaseName] = 'TraceDB' AND --根據DatabaseName過濾
gt.[ObjectName] = 'Trace_log' AND --根據objectname過濾
e.[category_id] = 5 AND --category 5表示對象,表示安全
e.[trace_event_id] = 164 --trace_event_id 46表示Create對象(Object:Created),47表示Drop對象(Object:Deleted),93表示日志文件自動增長(Log File Auto Grow),164表示Alter對象(Object:Altered),20表示錯誤日志(Audit Login Failed)
ORDER BY [StartTime] DESC
(Figure5:Alter事件前半部分信息)
(Figure6:Alter事件后半部分信息)
(六) 接着測試修改表所產生的事件跟蹤日志,首先我們人為的生成一個刪除表的事件,再把上面的Script1腳本Where的e.[trace_event_id] = 46替換為e.[trace_event_id] = 47,這樣就可以查看Drop對象的信息,EventName為Object: Deleted。
--通過刪除表產生一個DDL事件 USE TraceDB GO DROP TABLE Trace_log
(Figure7:Drop事件后半部分信息)
五.補充說明(Addon)
1. 對於log.trc文件,好像只保留5個文件,什么地方可以設置?文件的大小默認為20MB,有沒地方可以設置?SQL Server只會維護5個Trace文件,最大為20M。當SQL Server重新啟動或者達到最大值之后會生成新的文件,將最早的Trace文件刪除。
(Figure8:log*.trc文件)
(Figure9:log*.trc設置)
嘗試使用下面SQL對系統表進行更新失敗:exec sp_configure 'allow updates',1
此選項仍然存在於 sp_configure 存儲過程中,但是其功能在 SQL Server 中不可用。 其設置不起作用。 從 SQL Server 2005 開始,不支持直接更新系統表。
2. 雙擊log.trc文件會以SQL Server Profiler方式打開,看到這里是不是有熟悉的感覺了?對的只不過我們平時使用Profiler是自定義跟蹤事件,而保存在Log文件夾中的這些是系統默認進行跟蹤的。
3. 除了使用SQL Server Profiler自定義跟蹤之外,還可以使用系統存儲過程:sp_trace_create、sp_trace_setevent等的T-SQL來創建跟蹤,詳情請參考:SQL 跟蹤簡介。
4. 關於fn_trace_gettable系統函數的參數,有必要在這里講講,為了看到不同參數對讀取文件的影響,這里使用下面的SQL腳本進行測試,返回COUNT(1) 查看讀取文件的差異性。
1) 以@tracefile文件作為起始,往后讀取1個滾動更新文件,1為這個文件本身;
2) 以@tracefile文件作為起始,往后讀取2個滾動更新文件;
3) 以@tracefile文件作為起始,0、-1、default都是表示往后讀取所有文件;
--定義文件路徑變量
DECLARE @tracefile NVARCHAR(MAX)
SET @tracefile = (SELECT LEFT([path],LEN([path])-CHARINDEX('\',REVERSE([path])))+ '\log.trc' FROM sys.traces WHERE [is_default] = 1)
--以@tracefile文件作為起始,往后讀取1個滾動更新文件,1為這個文件本身
SELECT COUNT(1) FROM ::fn_trace_gettable(@tracefile,1)
--以@tracefile文件作為起始,往后讀取2個滾動更新文件
SELECT COUNT(1) FROM ::fn_trace_gettable(@tracefile,2)
--以@tracefile文件作為起始,0、-1、default都是表示往后讀取所有文件
SELECT COUNT(1) FROM ::fn_trace_gettable(@tracefile,0)
SELECT COUNT(1) FROM ::fn_trace_gettable(@tracefile,-1)
SELECT COUNT(1) FROM ::fn_trace_gettable(@tracefile,default)
5. Default Trace不能代替DDL trigger的功能(參考:SQL Server 使用DDL Trigger防止數據庫修改)。默認跟蹤應被用作SQL實例的監視器,或用來快速獲得SQL問題事件的詳細信息。
6. Default Trace不會跟蹤所有的事件,它撲捉一些關鍵性信息,包括auditing events,database events,error events,full text events,object creation,object deletion,object alteration。
7. 在Read Default Trace中描述了關於trace_event_id的信息:If you are interested in what the default trace has been setup to capture you can run this (Note you cannot edit the default trace!)。
--Script5:trace_event SELECT * FROM fn_trace_geteventinfo(1) tg INNER JOIN sys.trace_events te ON tg.[eventid] = te.[trace_event_id] INNER JOIN sys.trace_columns tc ON tg.[columnid] = tc.[trace_column_id] WHERE te.name like '%login%'
(Figure10:trace_event_id信息)
另外查看Event類型的方式還可以通過:sp_trace_setevent。
8. 關於Script1腳本:FROM fn_trace_gettable(@tracefile, DEFAULT) gt中@tracefile變量表示跟蹤日志文件路徑的寫法,還可以使用下面的方式,但是有點需要注意,下面的方式返回的是當前正在使用的滾動更新文件開始查找,而Script1的是以歷史滾動第一個文件開始查找。
--當前滾動更新文件
FROM sys.fn_trace_gettable(CONVERT(VARCHAR(150),(SELECT TOP 1 f.[value]
FROM sys.fn_trace_getinfo(NULL)f WHERE f.property= 2
)), DEFAULT) gt
9. 如何獲取某個Trace跟蹤了哪些Event和column呢?
--獲取某個Trace跟蹤了哪些Event和column
DECLARE @traceid INT
SET @traceid = 1
SELECT TCA.category_id,TCA.name AS category_name
,TE.trace_event_id,TE.name AS trace_event_name
,TCO.trace_column_id,TCO.name AS trace_column_name
FROM fn_trace_geteventinfo(@traceid) AS EI
LEFT JOIN sys.trace_events AS TE
ON EI.eventid = TE.trace_event_id
LEFT JOIN sys.trace_categories AS TCA
ON TE.category_id = TCA.category_id
LEFT JOIN sys.trace_columns AS TCO
ON EI.columnid = TCO.trace_column_id
GO
(Figure11:某Trace信息)
10. DBCC TRACEON (xxx);這種跟蹤標記和Default Trace有什么關系嘛?
六.參考文獻(References)
SQL Server 2005 - Default Trace (默認跟蹤)
default trace enabled (Option)
fn_trace_gettable (Transact-SQL)