使用Default Trace查看谁还原了你的数据库?
select e.nameaseventclass,t.loginname,t.spid,t.starttime, t.textdata,t.objectid,t.objectname,t.databasename, t.hostname,t.ntusername, t.ntdomainname,t.clientprocessid,t.applicationname,t.error FROM sys.fn_trace_gettable(CONVERT(VARCHAR(150),(SELECTTOP 1 f.[value] FROM sys.fn_trace_getinfo(NULL)f WHERE f.property= 2 )), DEFAULT)T inner joinsys.trace_eventseont.eventclass=e.trace_event_id where eventclass=115
今天在论坛看到一则帖子,数据库被还原了想查是谁做的。因为操作是远程桌面登录到WINDOWS所以个人觉得很容易找到是谁,根据WINDOWS SECURITY日志和SQL Server日志还原事件就可以找到登录WINDOWS的账户了。但是他们公用一个WINDOWS账户,所以无法查出来(建议不要用共同的WINDOWS账户管理,出了问题很难追踪)。建议查看Restorehistory日志的User_name,但是都是SA操作的,所以也无法确认。
所以要解决这个问题需要找到当时用户的IP地址或者机器名。因为SQL Server的Default Trace也会记录这些信息,所以可以使用下面的语句查询:
获得结果如下:
通过上面的图我们可以看到很多信息。 但是Default Trace也不一定保证可以找到数据,因为SQL Server只会维护5个Trace文件,最大为20M。当SQL Server重新启动或者达到最大值之后会生成新的文件,将最早的Trace文件删除。
————————————————
版权声明:本文为CSDN博主「KevinLiu」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/kevinsqlserver/article/details/8087458
