Heim > Datenbank > MySQL-Tutorial > SQL Server中关于跟踪(Trace)那点事

SQL Server中关于跟踪(Trace)那点事

WBOY
Freigeben: 2016-06-07 16:08:15
Original
1295 Leute haben es durchsucht

一提到跟踪俩字,很多人想到警匪片中的场景,同样在我们的SQL Server数据库中ldquo;跟踪rdquo;也是无处不在的,如果我们利用好

前言

一提到跟踪俩字,很多人想到警匪片中的场景,同样在我们的SQL Server数据库中“跟踪”也是无处不在的,如果我们利用好了跟踪技巧,就可以针对某些特定的场景做定向分析,找出充足的证据来破案。

简单的举几个应用场景:

在线生产库为何突然宕机?数百张数据表为何不翼而飞?刚打好补丁的系统为何屡遭黑手?新添加的信息表为何频频丢失?某张表字段的突然更改,究竟为何人所为?这些个匿名的访问背后,究竟是人是鬼?突然增加的增量数据,究竟是对是错?数百兆的日志爆炸式的增长背后又隐藏着什么?这一且的背后,是应用程序的BUG还是用户品质的缺失?

请关注本篇文章,让我们一起利用数据库的“跟踪”(Trace)走进数据库背后,查看其内部原理。 

我相信如用过SQL Server数据库的人,都会或多或少的利用过SQL Profiler工具。这个玩意就是利用SQL Trace形成的一个图形化操作工具,我们直接进入本篇的正题。 

一.查看系统默认跟踪信息(Default Trace)

Trace作为一个很好的数据库追踪工具,在SQL Server 2005中便集成到系统功能中去,并且默认是开启的,当然我们也可以手动的关掉它,它位于sp_config配置参数中,我们可以通过以下语句查看:

select * from sys.configurations where configuration_id = 1568

SQL Server中关于跟踪(Trace)那点事

我们也可以通过下面的语句找到这个跟踪的记录

select * from sys.traces

SQL Server中关于跟踪(Trace)那点事

如果没有开启,我们也可以利用如下语句进行开启,或者关闭等操作

--开启Default Trace sp_configure , 1 ; GO RECONFIGURE; GO sp_configure , 1 ; GO RECONFIGURE; GO --测试是否开启 EXEC sp_configure ; GO --关闭Default Trace sp_configure , 0 ; GO RECONFIGURE; GO sp_configure , 0 ; GO RECONFIGURE; GO

通过以下命令找到默认跟踪的文件路径

select * from ::fn_trace_getinfo(0)

SQL Server中关于跟踪(Trace)那点事

以上命令返回的结果值,各个值(property)代表的含义如下:

第一个:2表示滚动文件;

第二个:表示当前使用的trace文件路径,根据它我们可以找到其它的跟踪文件,,默认是同一目录下

第三个:表示滚动文件的大小(单位MB),当到达这个值就会创建新的滚动文件

第四个:跟踪的停止时间,这里为Null,表示没有固定的停止时间

第五个:当前跟踪的状态:0 停止;1 运行

 

找到该目录,我们查看下该文件:

SQL Server中关于跟踪(Trace)那点事

系统默认提供5个跟踪文件,并且每一个文件默认大小都是20MB,SQL Server会自己维护这5个文件,当实例重启的时候或者到达最大值的时候,之后会重新生成新的文件,将最早的跟踪文件删除,依次滚动更新。

 

我们通过以下命令来查看跟踪文件中的内容:

SQL Server中关于跟踪(Trace)那点事

 默认的跟踪文件,提供的跟踪信息还是很全的,从中我们可以找到登录人,操作信息等,上面的截图只是包含的部分信息。我们可以利用该语句进行自己的加工,然后获得更有用的信息。

--获取跟踪文件中前100行执行内容 SELECT TOP 100 gt.[HostName] ,gt.[ServerName] ,gt.[DatabaseName] ,gt.[SPID] ,gt.[ObjectName] ,gt.[objecttype] [ObjectTypeID] ,sv.[subclass_name] [ObjectType] ,e.[category_id] [CategoryID] ,c.[Name] [Category] ,gt.[EventClass] [EventID] ,e.[Name] [EventName] ,gt.[LoginName] ,gt.[ApplicationName] ,gt.[StartTime] ,gt.[TextData] FROM fn_trace_gettable(, DEFAULT) gt LEFT JOIN sys.trace_subclass_values sv ON gt.[eventclass] = sv.[trace_event_id] AND sv.[subclass_value] = gt.[objecttype] INNER JOIN sys.trace_events e ON gt.[eventclass] = e.[trace_event_id] INNER JOIN sys.trace_categories c ON e.[category_id] = c.[category_id] WHERE gt.[spid] > 50 AND --50以内的spid为系统使用 gt.[DatabaseName] = AND --根据DatabaseName过滤 gt.[ObjectName] = AND --根据objectname过滤 e.[category_id] = 5 AND --category 5表示对象,8表示安全 e.[trace_event_id] = 46 --trace_event_id --46表示Create对象(Object:Created), --47表示Drop对象(Object:Deleted), --93表示日志文件自动增长(Log File Auto Grow), --164表示Alter对象(Object:Altered), --20表示错误日志(Audit Login Failed) ORDER BY [StartTime] DESC

SQL Server中关于跟踪(Trace)那点事

 我创建了一张表,通过上面的跟踪,可以跟踪到该记录的信息,根据不同的过滤信息,我们可以查询出到跟踪的某个库的某个表的更改信息,包括:46创建(Created)、47删除(Deleted)、93文件自动增长信息(Log File Auto Grow)、146修改(Alter)、20表示错误日志(Login Failed)

 

在生产环境中,以上几个分类都是比较常用的,对定位部分问题的定位能够在找到充分的证据可循,比如某厮将数据库数据删除掉了还不承认等,这里面的Login Failed信息,能够追踪出有那么用户尝试登陆过数据库,并且失败,如果大面积的出现这种情况,那就要谨防黑客袭击了。

 

当然,这里我还可以利用SQL Server自带的Profile工具,打开查看跟踪文件中的内容。

SQL Server中关于跟踪(Trace)那点事

这个图像化的工具就比较熟悉了,直接打开进行筛选就可以了。

这种方式看似不错,但是它也有本身的缺点,我们来看:

1、这5个文件是滚动更新的,而且每个文件默认最大都为20MB,并且没有提供更改的接口,所以当文件填充完之后就会删除掉,所以会找不到太久以前的内容;

Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage