本文介绍了一种通过SQL Server默认跟踪记录来查找数据库还原操作的方法。由于共用Windows账户难以直接定位具体操作者,作者提供了查询DefaultTrace记录的SQL语句以获取相关IP地址和机器名等信息。
今天在论坛看到一则帖子,数据库被还原了想查是谁做的。因为操作是远程桌面登录到WINDOWS所以个人觉得很容易找到是谁,根据WINDOWS SECURITY日志和SQL Server日志还原事件就可以找到登录WINDOWS的账户了。但是他们公用一个WINDOWS账户,所以无法查出来(建议不要用共同的WINDOWS账户管理,出了问题很难追踪)。建议查看Restorehistory日志的User_name,但是都是SA操作的,所以也无法确认。
所以要解决这个问题需要找到当时用户的IP地址或者机器名。因为SQL Server的Default Trace也会记录这些信息,所以可以使用下面的语句查询:
select e.nameaseventclass,t.loginname,t.spid,t.starttime,
t.textdata,t.objectid,t.objectname,t.databasename,
t.hostname,t.ntusername,
t.ntdomainname,t.clientprocessid,t.applicationname,t.error
FROM sys.fn_trace_gettable(CONVERT(VARCHAR(150),(SELECTTOP 1
f.[value]
FROM sys.fn_trace_getinfo(NULL)f
WHERE f.property= 2
)), DEFAULT)T
inner joinsys.trace_eventseont.eventclass=e.trace_event_id
where eventclass=115
获得结果如下:
但是Default Trace也不一定保证可以找到数据,因为SQL Server只会维护5个Trace文件,最大为20M。当SQL Server重新启动或者达到最大值之后会生成新的文件,将最早的Trace文件删除。
本文转自 lzf328 51CTO博客,原文链接:
扫一扫
3224
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
