有些資料庫本身,會記錄所有歷史的SQL命令。比如:mysql和pgsql都有專門的log文本文件來存放所有歷史的SQL命令; 也有些資料庫在保存log文本的同時,還保留最近的N條SQL命令在資料庫里,以方便查詢。 SQL Server並沒有這樣的實現,只有sys.dm_exec... ...
在SQL Server資料庫中,從登陸開始,然後做了什麼操作,以及資料庫里發生了什麼,大多都是有記錄可循的,但是也有一些確實無從查起。
一. 資料庫啟動記錄
1. 最近一次啟動SQL Server的時間
select sqlserver_start_time from sys.dm_os_sys_info; --也可參考系統進程創建的時間,比服務啟動時間略晚(秒級) select login_time from sysprocesses where spid = 1 select login_time from sys.dm_exec_sessions where session_id = 1 --也可參考tempdb資料庫創建的時間,比服務啟動時間略晚(秒級) select create_date from sys.databases where database_id=2
2. 最近幾次啟動SQL Server的時間
--參考error log,系統預設保留6個歸檔,共7個文件 exec xp_readerrorlog 0,1, N'SQL Server is starting' exec xp_readerrorlog 1,1, N'SQL Server is starting' exec xp_readerrorlog 2,1, N'SQL Server is starting' exec xp_readerrorlog 3,1, N'SQL Server is starting' exec xp_readerrorlog 4,1, N'SQL Server is starting' exec xp_readerrorlog 5,1, N'SQL Server is starting' exec xp_readerrorlog 6,1, N'SQL Server is starting' --之前關鍵字用N'Server process ID is'並不嚴謹,改為N'SQL Server is starting'
3. 歷史上更多次啟動SQL Server的時間
查看windows event log,SQL語句無法直接讀取event log,如果想用命令行,可以試試VBS,Powershell。
Event Viewer/Windows logs下Application 或者 System 事件里都有服務啟動的記錄。
二. 登錄資料庫記錄
1. 查看error log
預設情況下,只有失敗的登錄會被記錄在error log里,如果想登錄失敗/成功都被記錄到error log,需要開啟如圖選項:
用SQL語句修改註冊表,也同樣可以開啟,鍵值對應關係如下:
0, None
1, Failed
2, Successful
3, Both failed and successful
USE [master] GO EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 3 GO
在error log里查看登錄記錄:
exec xp_readerrorlog 0,1, N'Login', N'for user', null, null, N'DESC'
2. 利用LOGON 觸發器進行記錄
從SQL Server 2005 SP2開始引入了LOGON Trigger,可以用它在登錄時做個記錄,實現如下:
--創建LOGON觸發器 CREATE database DBA GO USE DBA GO IF OBJECT_ID('login_history','U') is not null DROP TABLE login_history GO CREATE TABLE login_history ( FACT_ID bigint IDENTITY(1,1) primary key, LOGIN_NAME nvarchar(1024), LOGIN_TIME datetime ) GO IF EXISTS(select 1 from sys.server_triggers where name = 'login_history_trigger') DROP TRIGGER login_history_trigger ON ALL SERVER GO CREATE TRIGGER login_history_trigger ON ALL SERVER FOR LOGON AS BEGIN --IF SUSER_NAME() NOT LIKE 'NT AUTHORITY\%' AND -- SUSER_NAME() NOT LIKE 'NT SERVICE\%' IF ORIGINAL_LOGIN() NOT LIKE 'NT AUTHORITY\%' AND ORIGINAL_LOGIN() NOT LIKE 'NT SERVICE\%' BEGIN INSERT INTO DBA..login_history VALUES(ORIGINAL_LOGIN(),GETDATE()); END; END; GO --登錄後查看記錄 SELECT * FROM login_history
3. 實例:查詢某login的最後一次登錄
系統表/試圖裡,並沒有這樣的欄位記錄,syslogins里accdate也是不對的,如果要查可以通過上面2個方法里的一種:
(1) ERROR LOG,得設置記錄Login Auditing 的“Both failed and successful” 選項,預設為”Failed”;
(2) Logon Trigger;
三. 創建,修改,刪除記錄 (DDL)
1. 伺服器對象的創建,修改
--創建資料庫 select name, create_date from sys.databases --創建,修改登錄 select name, createdate, updatedate from syslogins select name, create_date, modify_date from sys.server_principals --創建,修改LOGON觸發器 select name, create_date, modify_date from sys.server_triggers
2. 資料庫對象創建,修改
--創建,修改資料庫對象 select name, create_date, modify_date from sys.objects --創建,修改觸發器,DDL觸發器不在sys.objects里 select name, create_date, modify_date from sys.triggers
註意:
(1) 索引的創建,修改並沒有記錄
sys.objects --裡面沒有0,1 之外的索引 sys.indexes --裡面沒有日期 objectproperty() --沒有日期屬性 indexproperty() --沒有日期屬性 sys.dm_db_index_operational_stats sys.dm_db_index_usage_stats sys.dm_db_index_physical_stats --也都沒有 STATS_DATE (table_id, index_id) --是索引的統計信息最後更新時間
(2) 關於creator和owner
SQL Server里只有owner,資料庫里對象的owner必須是一個有效的database principal (user或者role),沒有creator,很難知道是誰創建了這個對象,因為owner並不准確:
首先,資料庫對象的owner可以被修改,ALTER AUTHORIZATION或者sp_changeobjectowner都行;
其次,就算owner沒被修改過,預設情況下資料庫對象的owner沿用schema的owner,除非在創建schema時特意指定了某個owner;
最後,系統表並沒有記錄creator,如果想要查詢,也許得利用DDL 觸發器來記錄。
關於owner簡單舉例如下:
--用sysadmin許可權的賬號登錄後創建 USE master GO CREATE LOGIN test_login WITH PASSWORD=N'123', DEFAULT_DATABASE=master, CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF ALTER SERVER ROLE sysadmin ADD MEMBER test_login GO CREATE database DBA GO USE DBA GO CREATE USER test_user FOR LOGIN test_login GO CREATE SCHEMA test_schema GO --用"test_login"登錄後建表 if OBJECT_ID('test_schema.test_owner','U') is not null drop table test_schema.test_owner GO create table test_schema.test_owner(id int) GO --表的owner還是用了schema的owner select s.name as schema_name, dp2.name as schema_owner, o.name as object_name, coalesce(dp1.name, dp2.name) as object_owner,* from sys.objects o inner join sys.schemas s on o.schema_id = s.schema_id left join sys.database_principals dp1 on o.principal_id = dp1.principal_id left join sys.database_principals dp2 on s.principal_id = dp2.principal_id where o.name = 'test_owner' --用objectproperty也可以查看owner select name as object_owner from sys.database_principals where principal_id = OBJECTPROPERTY(object_id('test_schema.test_owner'),'OwnerId')object owner
3. 預設跟蹤里的創建,修改,刪除對象 (create, alter, drop)
從sql server 2005開始引入了預設跟蹤,這是sql server預設開啟的跟蹤,並定義了事件、文件大小,個數,查看定義如下:
--系統定義好的預設跟蹤事件 select t.eventid, te.name from (select distinct eventid from sys.fn_trace_geteventinfo(1)) t inner join sys.trace_events te on t.eventid = te.trace_event_id --最多5個文件,每個文件20MB,依次滾動覆蓋 select * from sys.traces where id = 1
示例,利用預設跟蹤查看刪除資料庫記錄如下:
DECLARE @path varchar(1024) SELECT @path = path FROM sys.traces WHERE id = 1 SELECT * FROM fn_trace_gettable(@path, default) --default讀取當前所有trace文件,包括正在用的 WHERE DatabaseName = 'DBA' and EventClass = 47 --46表示Create對象,47表示Drop對象,164表示修改對象 and ObjectType = 16964 --16964表示資料庫
註意:
(1) 其他對象比如表的刪除等也都可以查到;
(2) 預設跟蹤返回的列值有很多定義,沒有系統表記載,需要去翻幫助,比如ObjectType列值參考這個列表:
https://msdn.microsoft.com/en-us/library/ms180953.aspx
(3) 註意預設跟蹤的時效性,5個20MB的文件,也許想要看的信息很快就被覆蓋了;
(4) truncate table並沒有被預設跟蹤記錄。
四. 資料庫表的各種記錄
彙總一下對錶的各種歷史操作記錄的查看:
(1) create table, alter table記錄,查看sys.objects 或者預設跟蹤;
(2) drop table記錄,查看預設跟蹤;
(3) truncate table 也許只有去打開資料庫log文件查看了,最後會簡單介紹下;
(4) DML操作表中數據的記錄,查看sys.dm_db_index_usage_stats,如下:
SELECT o.name as table_name, s.last_user_seek, s.last_user_scan, s.last_user_lookup, s.last_user_update from sys.indexes i left join sys.dm_db_index_usage_stats s on s.object_id = i.object_id and s.index_id = i.index_id inner join sys.objects o on i.object_id = o.object_id where i.index_id <= 1 and o.is_ms_shipped = 0 order by o.name
註意:動態管理視圖(DMV) 中採集來的信息都是從sql server啟動後開始的,也就是說重啟後就沒了。
五. 歷史SQL語句記錄
有些資料庫本身,會記錄所有歷史的SQL命令。比如:mysql和pgsql都有專門的log文本文件來存放所有歷史的SQL命令;
也有些資料庫在保存log文本的同時,還保留最近的N條SQL命令在資料庫里,以方便查詢。
SQL Server並沒有這樣的實現,只有sys.dm_exec_query_stats緩存了一部分 (sql server服務開啟後執行的語句,某些不被緩存執行計劃的語句並不記錄)。
這個視圖主要是對執行計劃的統計,包含消耗成本,運行次數等等,並沒有session,user,每次被執行的時間等信息:
SELECT st.text as sql_statement, qs.creation_time as plan_last_compiled, qs.last_execution_time as plan_last_executed, qs.execution_count as plan_executed_count, qp.query_plan FROM sys.dm_exec_query_stats qs CROSS APPLY sys.dm_exec_sql_text(qs.plan_handle) st CROSS APPLY sys.dm_exec_query_plan(qs.plan_handle) qp order by total_elapsed_time/execution_count desc
當然,開啟跟蹤,審計之類的方法,是可以記錄所有操作的,但是這個開銷有可能會影響系統性能,所以一般並不在生產環境啟用。
六. 資料庫備份還原歷史記錄
備份還原的記錄都在msdb里。
1. 備份記錄
SELECT bs.backup_set_id, bs.database_name, bs.backup_start_date, bs.backup_finish_date, CAST(CAST(bs.backup_size/1000000 AS INT) AS VARCHAR(14)) + ' ' + 'MB' AS [Size], CAST(DATEDIFF(second, bs.backup_start_date, bs.backup_finish_date) AS VARCHAR(4)) + ' ' + 'Seconds' [TimeTaken], CASE bs.[type] WHEN 'D' THEN 'Full Backup' WHEN 'I' THEN 'Differential Backup' WHEN 'L' THEN 'TLog Backup' WHEN 'F' THEN 'File or filegroup' WHEN 'G' THEN 'Differential file' WHEN 'P' THEN 'Partial' WHEN 'Q' THEN 'Differential Partial' END AS BackupType, bmf.physical_device_name, CAST(bs.first_lsn AS VARCHAR(50)) AS first_lsn, CAST(bs.last_lsn AS VARCHAR(50)) AS last_lsn, bs.server_name, bs.recovery_model FROM msdb.dbo.backupset bs INNER JOIN msdb.dbo.backupmediafamily bmf ON bs.media_set_id = bmf.media_set_id ORDER BY bs.server_name,bs.database_name,bs.backup_start_date; GO
如果server_name是本機,那麼備份是在本機生成的;
如果server_name是別的主機名,那麼備份是被拿到本機做過資料庫還原;
2. 還原紀錄
SELECT rs.[restore_history_id], rs.[restore_date], rs.[destination_database_name], bmf.physical_device_name, rs.[user_name], rs.[backup_set_id], CASE rs.[restore_type] WHEN 'D' THEN 'Database' WHEN 'I' THEN 'Differential' WHEN 'L' THEN 'Log' WHEN 'F' THEN 'File' WHEN 'G' THEN 'Filegroup' WHEN 'V' THEN 'Verifyonly' END AS RestoreType, rs.[replace], rs.[recovery], rs.[restart], rs.[stop_at], rs.[device_count], rs.[stop_at_mark_name], rs.[stop_before] FROM [msdb].[dbo].[restorehistory] rs INNER JOIN [msdb].[dbo].[backupset] bs --on rs.backup_set_id = bs.media_set_id ON rs.backup_set_id = bs.backup_set_id INNER JOIN msdb.dbo.backupmediafamily bmf ON bs.media_set_id = bmf.media_set_id GO
還原資料庫的時候是會寫backupset和backupmediafamily系統表的,用來記錄還原所用到的備份文件信息。
七. 作業,維護計劃,資料庫郵件歷史記錄
作業,維護計劃,資料庫郵件的歷史記錄,也都在msdb里。
1. 作業歷史記錄
if OBJECT_ID('tempdb..#tmp_job') is not null drop table #tmp_job --只取最後一次結果 select job_id, run_status, CONVERT(varchar(20),run_date) run_date, CONVERT(varchar(20),run_time) run_time, CONVERT(varchar(20),run_duration) run_duration into #tmp_job from msdb.dbo.sysjobhistory jh1 where jh1.step_id = 0 and (select COUNT(1) from msdb.dbo.sysjobhistory jh2 where jh2.step_id = 0 and (jh1.job_id = jh2.job_id) and (jh1.instance_id <= jh2.instance_id))=1 --排除syspolicy_purge_history這個系統作業 select a.name job_name, case b.run_status when 0 then 'Failed' when 1 then 'Succeeded' when 2 then 'Retry' when 3 then 'Canceled' else 'Unknown' end as job_status, LEFT(run_date,4)+'-'+SUBSTRING(run_date,5,2)+'-'+RIGHT(run_date,2) +SPACE(1) +LEFT(RIGHT(1000000+run_time,6),2)+':' +SUBSTRING(RIGHT(1000000+run_time,6),3,2)+':' +RIGHT(RIGHT(1000000+run_time,6),2) as job_started_time, +LEFT(RIGHT(1000000+run_duration,6),2)+':' +SUBSTRING(RIGHT(1000000+run_duration,6),3,2)+':' +RIGHT(RIGHT(1000000+run_duration,6),2) as job_duration from msdb.dbo.sysjobs a left join #tmp_job b on a.job_id=b.job_id where a.name not in ('syspolicy_purge_history') and a.enabled = 1 order by b.run_status asc,a.name,b.run_duration desc
2. 維護計劃歷史記錄
select * from msdb..sysdbmaintplan_history --新的系統表也可以 select * from msdb..sysmaintplan_log select * from msdb..sysmaintplan_logdetail
維護計劃最終是作為作業在運行的,也可以直接查看同名作業的歷史記錄。
3. 資料庫郵件歷史記錄
--直接查系統表 select * from msdb..sysmail_mailitems select * from msdb..sysmail_log --也可查看基於這2個系統表的系統視圖 select * from msdb..sysmail_allitems select * from msdb..sysmail_sentitems select * from msdb..sysmail_unsentitems select * from msdb..sysmail_faileditems select * from msdb..sysmail_event_log --更多系統表和視圖 use msdb GO select * from sys.objects where name like '%sysmail%' and type in('U','V') order by type,name
八. 查看資料庫日誌文件
資料庫日誌文件里對於DDL,DML操作肯定是有記錄的,有2個內置函數可以用來解析,但是並不那麼輕鬆,簡單介紹如下:
1. fn_dblog 讀取當前線上的日誌
select * from fn_dblog(null,null) --2個null代表起始的日誌LSN
返回的結果集中欄位定義:
(1) AllocUnitName: 對象名
(2) Operation: 操作類型,常見的有 'LOP_INSERT_ROWS', 'LOP_DELETE_ROWS', 'LOP_MODIFY_ROW'
(3) [RowLog Contents 0], [RowLog Contents 1], 2,3,4,5: 欄位內容,但是是二進位的,和dbcc page看到的類似
試著查看truncate table記錄如下:
IF OBJECT_ID('test_truncate','U') is not null DROP TABLE test_truncate GO CREATE TABLE test_truncate(ID int) INSERT INTO test_truncate values(1) TRUNCATE TABLE test_truncate --查看truncate table記錄 select * from fn_dblog(null,null) where AllocUnitName like '%test_truncate%' and Description like 'Deallocated%'
2. fn_dump_dblog 讀取資料庫備份里的日誌
參數介紹:前面兩2個NULL和fn_dblog一樣代表起始的日誌LSN,DISK表示設備類型,1表示備份文件個數,最多64個,這裡以1個文件為例:
backup database DBA to disk = 'C:\backup\dba.bak' SELECT * FROM fn_dump_dblog ( NULL, NULL, N'DISK', 1, N'C:\backup\dba.bak', DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT); GO
這2個函數返回的信息量很大,如果
