(轉)SQLServer查詢資料庫各種歷史記錄
原文地址https://www.cnblogs.com/seusoftware/p/4826958.html
在SQL Server資料庫中,從登陸開始,然後做了什麼操作,以及資料庫裡發生了什麼,大多都是有記錄可循的,但是也有一些確實無從查起。
一. 資料庫啟動記錄
1. 最近一次啟動SQL Server的時間
select sqlserver_start_time from sys.dm_os_sys_info;
--也可參考系統程序建立的時間,比服務啟動時間略晚(秒級)
select login_time from sysprocesses where spid = 1 select login_time from sys.dm_exec_sessions where session_id = 1 --也可參考tempdb資料庫建立的時間,比服務啟動時間略晚(秒級) select create_date from sys.databases where database_id=2
2. 最近幾次啟動SQL Server的時間
--參考error log,系統預設保留6個歸檔,共7個檔案
exec xp_readerrorlog 0,1, N'SQL Server is starting' exec xp_readerrorlog 1,1, N'SQL Server is starting' exec xp_readerrorlog 2,1, N'SQL Server is starting' exec xp_readerrorlog 3,1, N'SQL Server is starting' exec xp_readerrorlog 4,1, N'SQL Server is starting' exec xp_readerrorlog 5,1, N'SQL Server is starting' exec xp_readerrorlog 6,1, N'SQL Server is starting' --之前關鍵字用N'Server process ID is'並不嚴謹,改為N'SQL Server is starting'
3. 歷史上更多次啟動SQL Server的時間
檢視windows event log,SQL語句無法直接讀取event log,如果想用命令列,可以試試VBS,Powershell。
Event Viewer/Windows logs下Application 或者 System 事件裡都有服務啟動的記錄。
二. 登入資料庫記錄
1. 檢視error log
預設情況下,只有失敗的登入會被記錄在error log裡,如果想登入失敗/成功都被記錄到error log,需要開啟如圖選項:
用SQL語句修改登錄檔,也同樣可以開啟,鍵值對應關係如下:
0, None
1, Failed
2, Successful
3, Both failed and successful
USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 3 GO
在error log裡檢視登入記錄:
exec xp_readerrorlog 0,1, N'Login', N'for user', null, null, N'DESC'
2. 利用LOGON 觸發器進行記錄
從SQL Server 2005 SP2開始引入了LOGON Trigger,可以用它在登入時做個記錄,實現如下:
--建立LOGON觸發器
CREATE database DBA
GO USE DBA GO IF OBJECT_ID('login_history','U') is not null DROP TABLE login_history GO CREATE TABLE login_history ( FACT_ID bigint IDENTITY(1,1) primary key, LOGIN_NAME nvarchar(1024), LOGIN_TIME datetime ) GO IF EXISTS(select 1 from sys.server_triggers where name = 'login_history_trigger') DROP TRIGGER login_history_trigger ON ALL SERVER GO CREATE TRIGGER login_history_trigger ON ALL SERVER FOR LOGON AS BEGIN --IF SUSER_NAME() NOT LIKE 'NT AUTHORITY\%' AND -- SUSER_NAME() NOT LIKE 'NT SERVICE\%' IF ORIGINAL_LOGIN() NOT LIKE 'NT AUTHORITY\%' AND ORIGINAL_LOGIN() NOT LIKE 'NT SERVICE\%' BEGIN INSERT INTO DBA..login_history VALUES(ORIGINAL_LOGIN(),GETDATE()); END; END; GO --登入後檢視記錄 SELECT * FROM login_history
3. 例項:查詢某login的最後一次登入
系統表/試圖裡,並沒有這樣的欄位記錄,syslogins裡accdate也是不對的,如果要查可以通過上面2個方法裡的一種:
(1) ERROR LOG,得設定記錄Login Auditing 的“Both failed and successful” 選項,預設為”Failed”;
(2) Logon Trigger;
三. 建立,修改,刪除記錄 (DDL)
1. 伺服器物件的建立,修改
--建立資料庫
select name, create_date from sys.databases
--建立,修改登入 select name, createdate, updatedate from syslogins select name, create_date, modify_date from sys.server_principals --建立,修改LOGON觸發器 select name, create_date, modify_date from sys.server_triggers
2. 資料庫物件建立,修改
--建立,修改資料庫物件
select name, create_date, modify_date from sys.objects
--建立,修改觸發器,DDL觸發器不在sys.objects裡 select name, create_date, modify_date from sys.triggers
注意:
(1) 索引的建立,修改並沒有記錄
sys.objects --裡面沒有0,1 之外的索引
sys.indexes --裡面沒有日期
objectproperty() --沒有日期屬性 indexproperty() --沒有日期屬性 sys.dm_db_index_operational_stats sys.dm_db_index_usage_stats sys.dm_db_index_physical_stats --也都沒有 STATS_DATE (table_id, index_id) --是索引的統計資訊最後更新時間
(2) 關於creator和owner
SQL Server裡只有owner,資料庫裡物件的owner必須是一個有效的database principal (user或者role),沒有creator,很難知道是誰建立了這個物件,因為owner並不準確:
首先,資料庫物件的owner可以被修改,ALTER AUTHORIZATION或者sp_changeobjectowner都行;
其次,就算owner沒被修改過,預設情況下資料庫物件的owner沿用schema的owner,除非在建立schema時特意指定了某個owner;
最後,系統表並沒有記錄creator,如果想要查詢,也許得利用DDL 觸發器來記錄。
關於owner簡單舉例如下:
object owner
3. 預設跟蹤裡的建立,修改,刪除物件 (create, alter, drop)
從sql server 2005開始引入了預設跟蹤,這是sql server預設開啟的跟蹤,並定義了事件、檔案大小,個數,檢視定義如下:
--系統定義好的預設跟蹤事件
select t.eventid, te.name
from (select distinct eventid from sys.fn_trace_geteventinfo(1)) t inner join sys.trace_events te on t.eventid = te.trace_event_id --最多5個檔案,每個檔案20MB,依次滾動覆蓋 select * from sys.traces where id = 1
示例,利用預設跟蹤檢視刪除資料庫記錄如下:
DECLARE @path varchar(1024)
SELECT @path = path FROM sys.traces WHERE id = 1 SELECT * FROM fn_trace_gettable(@path, default) --default讀取當前所有trace檔案,包括正在用的 WHERE DatabaseName = 'DBA' and EventClass = 47 --46表示Create物件,47表示Drop物件,164表示修改物件 and ObjectType = 16964 --16964表示資料庫
注意:
(1) 其他物件比如表的刪除等也都可以查到;
(2) 預設跟蹤返回的列值有很多定義,沒有系統表記載,需要去翻幫助,比如ObjectType列值參考這個列表:
https://msdn.microsoft.com/en-us/library/ms180953.aspx
(3) 注意預設跟蹤的時效性,5個20MB的檔案,也許想要看的資訊很快就被覆蓋了;
(4) truncate table並沒有被預設跟蹤記錄。
四. 資料庫表的各種記錄
彙總一下對錶的各種歷史操作記錄的檢視:
(1) create table, alter table記錄,檢視sys.objects 或者預設跟蹤;
(2) drop table記錄,檢視預設跟蹤;
(3) truncate table 也許只有去開啟資料庫log檔案查看了,最後會簡單介紹下;
(4) DML操作表中資料的記錄,檢視sys.dm_db_index_usage_stats,如下:
SELECT o.name as table_name,
s.last_user_seek,
s.last_user_scan,
s.last_user_lookup,
s.last_user_update
from sys.indexes i
left join sys.dm_db_index_usage_stats s on s.object_id = i.object_id and s.index_id = i.index_id inner join sys.objects o on i.object_id = o.object_id where i.index_id <= 1 and o.is_ms_shipped = 0 order by o.name
注意:動態管理檢視(DMV) 中採集來的資訊都是從sql server啟動後開始的,也就是說重啟後就沒了。
五. 歷史SQL語句記錄
有些資料庫本身,會記錄所有歷史的SQL命令。比如:mysql和pgsql都有專門的log文字檔案來存放所有歷史的SQL命令;
也有些資料庫在儲存log文字的同時,還保留最近的N條SQL命令在資料庫裡,以方便查詢。
SQL Server並沒有這樣的實現,只有sys.dm_exec_query_stats快取了一部分 (sql server服務開啟後執行的語句,某些不被快取執行計劃的語句並不記錄)。
這個檢視主要是對執行計劃的統計,包含消耗成本,執行次數等等,並沒有session,user,每次被執行的時間等資訊:
SELECT st.text as sql_statement,
qs.creation_time as plan_last_compiled, qs.last_execution_time as plan_last_executed, qs.execution_count as plan_executed_count, qp.query_plan FROM sys.dm_exec_query_stats qs CROSS APPLY sys.dm_exec_sql_text(qs.plan_handle) st CROSS APPLY sys.dm_exec_query_plan(qs.plan_handle) qp order by total_elapsed_time/execution_count desc
當然,開啟跟蹤,審計之類的方法,是可以記錄所有操作的,但是這個開銷有可能會影響系統性能,所以一般並不在生產環境啟用。
六. 資料庫備份還原歷史記錄
備份還原的記錄都在msdb裡。
1. 備份記錄
SELECT
bs.backup_set_id,
bs.database_name,
bs.backup_start_date,
bs.backup_finish_date,
CAST(CAST(bs.backup_size/1000000 AS INT) AS VARCHAR(14)) + ' ' + 'MB' AS [Size], CAST(DATEDIFF(second, bs.backup_start_date, bs.backup_finish_date) AS VARCHAR(4)) + ' ' + 'Seconds' [TimeTaken], CASE bs.[type] WHEN 'D' THEN 'Full Backup' WHEN 'I' THEN 'Differential Backup' WHEN 'L' THEN 'TLog Backup' WHEN 'F' THEN 'File or filegroup' WHEN 'G' THEN 'Differential file' WHEN 'P' THEN 'Partial' WHEN 'Q' THEN 'Differential Partial' END AS BackupType, bmf.physical_device_name, CAST(bs.first_lsn AS VARCHAR(50)) AS first_lsn, CAST(bs.last_lsn AS VARCHAR(50)) AS last_lsn, bs.server_name, bs.recovery_model FROM msdb.dbo.backupset bs INNER JOIN msdb.dbo.backupmediafamily bmf ON bs.media_set_id = bmf.media_set_id ORDER BY bs.server_name,bs.database_name,bs.backup_start_date; GO
如果server_name是本機,那麼備份是在本機生成的;
如果server_name是別的主機名,那麼備份是被拿到本機做過資料庫還原;
2. 還原紀錄
SELECT
rs.[restore_history_id], rs.[restore_date], rs.[destination_database_name], bmf.physical_device_name, rs.[user_name], rs.[backup_set_id], CASE rs.[restore_type] WHEN 'D' THEN 'Database' WHEN 'I' THEN 'Differential' WHEN 'L' THEN 'Log' WHEN 'F' THEN 'File' WHEN 'G' THEN 'Filegroup' WHEN 'V' THEN 'Verifyonly' END AS RestoreType, rs.[replace], rs.[recovery], rs.[restart], rs.[stop_at], rs.[device_count], rs.[stop_at_mark_name], rs.[stop_before] FROM [msdb].[dbo].[restorehistory] rs INNER JOIN [msdb].[dbo].[backupset] bs --on rs.backup_set_id = bs.media_set_id ON rs.backup_set_id = bs.backup_set_id INNER JOIN msdb.dbo.backupmediafamily bmf ON bs.media_set_id = bmf.media_set_id GO
還原資料庫的時候是會寫backupset和backupmediafamily系統表的,用來記錄還原所用到的備份檔案資訊。
七. 作業,維護計劃,資料庫郵件歷史記錄
作業,維護計劃,資料庫郵件的歷史記錄,也都在msdb裡。
1. 作業歷史記錄
if OBJECT_ID('tempdb..#tmp_job') is not null drop table #tmp_job --只取最後一次結果 select job_id, run_status, CONVERT(varchar(20),run_date) run_date, CONVERT(varchar(20),run_time) run_time, CONVERT(varchar(20),run_duration) run_duration into #tmp_job from msdb.dbo.sysjobhistory jh1 where jh1.step_id = 0 and (select COUNT(1) from msdb.dbo.sysjobhistory jh2 where jh2.step_id = 0 and (jh1.job_id = jh2.job_id) and (jh1.instance_id <= jh2.instance_id))=1 --排除syspolicy_purge_history這個系統作業 select a.name job_name, case b.run_status when 0 then 'Failed' when 1 then 'Succeeded' when 2 then 'Retry' when 3 then 'Canceled' else 'Unknown' end as job_status, LEFT(run_date,4)+'-'+SUBSTRING(run_date,5,2)+'-'+RIGHT(run_date,2) +SPACE(1) +LEFT(RIGHT(1000000+run_time,6),2)+':' +SUBSTRING(RIGHT(1000000+run_time,6),3,2)+':' +RIGHT(RIGHT(1000000+run_time,6),2) as job_started_time, +LEFT(RIGHT(1000000+run_duration,6),2)+':' +SUBSTRING(RIGHT(1000000+run_duration,6),3,2)+':' +RIGHT(RIGHT(1000000+run_duration,6),2) as job_duration from msdb.dbo.sysjobs a left join #tmp_job b on a.job_id=b.job_id where a.name not in ('syspolicy_purge_history') and a.enabled = 1 order by b.run_status asc,a.name,b.run_duration desc
2. 維護計劃歷史記錄
select * from msdb..sysdbmaintplan_history
--新的系統表也可以 select * from msdb..sysmaintplan_log select * from msdb..sysmaintplan_logdetail
維護計劃最終是作為作業在執行的,也可以直接檢視同名作業的歷史記錄。
3. 資料庫郵件歷史記錄
--直接查系統表
select * from msdb..sysmail_mailitems select * from msdb..sysmail_log --也可檢視基於這2個系統表的系統檢視 select * from msdb..sysmail_allitems select * from msdb..sysmail_sentitems select * from msdb..sysmail_unsentitems select * from msdb..sysmail_faileditems select * from msdb..sysmail_event_log --更多系統表和檢視 use msdb GO select * from sys.objects where name like '%sysmail%' and type in('U','V') order by type,name
八. 檢視資料庫日誌檔案
資料庫日誌檔案裡對於DDL,DML操作肯定是有記錄的,有2個內建函式可以用來解析,但是並不那麼輕鬆,簡單介紹如下:
1. fn_dblog 讀取當前線上的日誌
select * from fn_dblog(null,null) --2個null代表起始的日誌LSN
返回的結果集中欄位定義:
(1) AllocUnitName: 物件名
(2) Operation: 操作型別,常見的有 'LOP_INSERT_ROWS', 'LOP_DELETE_ROWS', 'LOP_MODIFY_ROW'
(3) [RowLog Contents 0], [RowLog Contents 1], 2,3,4,5: 欄位內容,但是是二進位制的,和dbcc page看到的類似
試著檢視truncate table記錄如下:
IF OBJECT_ID('test_truncate','U') is not null DROP TABLE test_truncate GO CREATE TABLE test_truncate(ID int) INSERT INTO test_truncate values(1) TRUNCATE TABLE test_truncate --檢視truncate table記錄 select * from fn_dblog(null,null) where AllocUnitName like '%test_truncate%' and Description like 'Deallocated%'
2. fn_dump_dblog 讀取資料庫備份裡的日誌
引數介紹:前面兩2個NULL和fn_dblog一樣代表起始的日誌LSN,DISK表示裝置型別,1表示備份檔案個數,最多64個,這裡以1個檔案為例:
backup database DBA to disk = 'C:\backup\dba.bak' SELECT * FROM fn_dump_dblog ( NULL, NULL, N'DISK', 1, N'C:\backup\dba.bak', DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT); GO
這2個函式返回的資訊量很大,如果有興趣,不妨多做點測試。