트랜잭션 로그 백업을 읽고 트랜잭션 발생 시간 및 사용자 찾기

 

  • Version : SQL Server 2005, 2008, 2008R2, 2012, 2014

 

데이터베이스에서 발생하는 행위는 모두 트랜잭션 로그에 기록된다. 트랜잭션 로그를 읽는 방법과 트랜잭션 로그에서 삭제된 데이터 복구, 삭제한 사용자 찾기에 대한 내용은 이전 아티클을 참고 한다.

 

누군가 일부 데이터를 삭제 하였을 경우 fn_dblog()를 실행하여 활성 트랜잭션로그파일에서 정보를 확인 할 수 있었다. 하지만 로그가 플러쉬 된 경우에는 아무런 정보를 확인 할 수 없다. 이때 세부 정보를 확인 하기 위해 문서화되지 않은 fn_dump_dblog()를 사용하여 트랜잭션백업파일에서 삭제된 시간 및 사용자를 확인할 수 있다.

 

이 시나리오는 일반적인 데이터베이스 운영환경 (전체 백업 및 트랜잭션 로그 백이 진행되고 있는상황)을 가장하고 진행 하였다.

 

테스트를 위해 샘플 데이터를 생성 한다. 20건의 데이터를 생성한다.

create table ReadingDBLog(

Num int,

RegDate datetime,

Name nvarchar(50)

)

go

 

insert into ReadingDBLog values (1, getdate(), 'KSW')

insert into ReadingDBLog values (2, getdate(), 'KSW')

insert into ReadingDBLog values (3, getdate(), 'KSW')

insert into ReadingDBLog values (4, getdate(), 'KSW')

insert into ReadingDBLog values (5, getdate(), 'KSW')

insert into ReadingDBLog values (6, getdate(), 'KSW')

insert into ReadingDBLog values (7, getdate(), 'KSW')

insert into ReadingDBLog values (8, getdate(), 'KSW')

insert into ReadingDBLog values (9, getdate(), 'KSW')

insert into ReadingDBLog values (10, getdate(), 'KSW')

insert into ReadingDBLog values (11, getdate(), 'KSW')

insert into ReadingDBLog values (12, getdate(), 'KSW')

insert into ReadingDBLog values (13, getdate(), 'KSW')

insert into ReadingDBLog values (14, getdate(), 'KSW')

insert into ReadingDBLog values (15, getdate(), 'KSW')

insert into ReadingDBLog values (16, getdate(), 'KSW')

insert into ReadingDBLog values (17, getdate(), 'KSW')

insert into ReadingDBLog values (18, getdate(), 'KSW')

insert into ReadingDBLog values (19, getdate(), 'KSW')

insert into ReadingDBLog values (20, getdate(), 'KSW')

go

 

아래 스크립트를 사용하여 < 10 행을 삭제 한다.

DELETE ReadingDBLog WHERE Num < 10

go

 

select * from ReadingDBLog

 

 

현재 활성 로그를 플러시 하기 위해 트랜잭션 로그 백업 또는 전체 백업을 진행 한다.

BACKUP DATABASE SW_TEST TO DISK ='C:\SQL_Backup\SW_TEST.BAK'

BACKUP LOG SW_TEST TO DISK ='C:\SQL_Backup\SW_TEST_201504230945.trn'

 

백업이 완료되고 기존 fn_dblog()를 사용하여 활성 트랜잭션 로그 정보를 보면 아무것도 나타나지 않는다.

SELECT

    [Current LSN],

    [Transaction ID],

    [Transaction Name],

    Operation,

    [Begin Time]

FROM fn_dblog(NULL, NULL)

WHERE [Operation] = 'LOP_DELETE_ROWS'

 

 

이 시점에서 문서화 되지 않은 fn_dbump_dblog를 사용해서 트랜잭션로그백업 정보를 읽을 수 있다. 이 함수는 많은 파라메터를 요구하지만 백업 파일 이름과 위치만 입력하고 나머지는 DEFAULT 값을 입력 한다. 이 코드를 실행 하면 해당 트랜잭션백업 파일의 모든 행의 목록을 얻을 수 있다. 다른 트랜잭션로그 백업의 정보를 확인 할 때에는 참조하는 파일의 이름을 변경하면 된다.

SELECT

    [Current LSN], [Transaction ID], [Transaction Name], [Operation], [Begin Time], [PartitionID], [TRANSACTION SID]

FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT)

WHERE Operation = 'LOP_DELETE_ROWS'

GO

 

 

아래 스크립트는 위 단계에서 찾은 PartitionID와 Transaction ID를 활용하여 LOP_BEGIN_XACT을 찾는다. 트랜잭션이 시작되었을 때의 정보를 확인 할 수 있지만 어느 테이블에 작업이 진행되었는지는 나타나지 않는다.

SELECT

    [Current LSN], [Transaction ID], [Transaction Name], [Operation], [Begin Time], SUSER_SNAME([TRANSACTION SID]) as [LoginName]

FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT)

WHERE [Transaction ID] = '0000:0000031e'

    AND Operation = 'LOP_BEGIN_XACT'

GO

 

 

다음 스크립트는 fn_dump_dblog()에서 찾은 파티션 ID값을 사용하여 실제 어느 테이블에서 삭제 작업이 진행 되었는지, 누가 삭제 하였는지에 대한 정보를 확인 할 수 있다.

SELECT so.*

FROM sys.objects so

INNER JOIN sys.partitions sp on so.object_id = sp.object_id

WHERE partition_id = 72057594039042048

 

 

 

다음 스크립트는 위에서 찾은 name 정보를 활용하여 총 몇건의 데이터가 삭제되었는지 한번에 확인 하는 스크립트이다. 사용자에 따라 where name = '??' 구문을 수정하여 사용한다.

WITH CTE

as

(SELECT [Transaction ID], count(*) as DeletedRows

FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT)

WHERE Operation = ('LOP_DELETE_ROWS')

AND [PartitionId] in (SELECT sp.partition_id

FROM sys.objects so

INNER JOIN sys.partitions sp on so.object_id = sp.object_id

WHERE name = 'queue_messages_1067150847')

GROUP BY [Transaction ID]

)

SELECT [Current LSN], a.[Transaction ID], [Transaction Name], [Operation], [Begin Time], SUSER_SNAME([TRANSACTION SID]) as LoginName, DeletedRows

FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,

    DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT) as a

INNER JOIN cte on a.[Transaction ID] = cte.[Transaction ID]

WHERE Operation = ('LOP_BEGIN_XACT')

 

 

 

[참고자료]

http://www.mssqltips.com/sqlservertip/3555/read-sql-server-transaction-log-backups-to-find-when-transactions-occurred/

 




강성욱 / jevida@naver.com
Microsoft SQL Server MVP
Blog : http://sqlmvp.kr
Facebook : http://facebook.com/sqlmvp

No. Subject Author Date Views
Notice SQL강좌: 챗GPT와 함께 배우는 SQL Server 무료 강좌 목차와 소개 (2023년 9월 업데이트) 코난(김대우) 2023.08.18 34050
Notice Python 무료 강좌 - 기초, 중급, 머신러닝(2023년 6월 업데이트) 코난(김대우) 2021.01.01 17174
2014 트랜잭션로그 파일이 손상된 데이터베이스 복원 하기 jevida(강성욱) 2017.01.11 4714
» 트랜잭션 로그 백업을 읽고 트랜잭션 발생 시간 및 사용자 찾기 jevida(강성욱) 2017.01.11 3367
2012 RESOURCE_GOVERNOR_IDLE과 쿼리 성능 jevida(강성욱) 2017.01.11 2086
2011 TDE 암호화된 데이터베이스 복원 jevida(강성욱) 2017.01.11 2559
2010 재해복구를 위한 SQL Server 역할 가져오기 jevida(강성욱) 2017.01.11 2345
2009 비관리자 계정에 Profiler 실행 권한 부여하기 jevida(강성욱) 2017.01.11 3342
2008 SQL Server Agent 공유 일정 생성하기 jevida(강성욱) 2017.01.11 2224
2007 인덱스 리빌드는 통계를 업데이트 할까? jevida(강성욱) 2017.01.11 2564
2006 인덱스 유지관리 작업과 SQL Server 쿼리 성능 jevida(강성욱) 2017.01.11 3455
2005 네트워크 드라이브에 데이터베이스 복원하기 jevida(강성욱) 2017.01.11 4333
2004 확장 저장 프로시저를 활용한 논리디스크 용량 확인 jevida(강성욱) 2017.01.11 2542
2003 날짜 참조 테이블 만들기 jevida(강성욱) 2017.01.11 3268
2002 인덱스 상세 정보 확인 jevida(강성욱) 2017.01.11 3843
2001 DTC Transacntion 오버헤드 jevida(강성욱) 2017.01.11 1339
2000 대용량 로드를 위한 BULK INSERT 옵션 jevida(강성욱) 2017.01.11 5607
1999 SQL Server 2014 Diagnostic Information Queries jevida(강성욱) 2017.01.11 1662
1998 SQL Server 2012 Contained Database jevida(강성욱) 2017.01.11 1077
1997 SQL Server 2008R2 Diagnostic Information Queries jevida(강성욱) 2017.01.11 1466
1996 SQL Server 2005 Diagnostic Information Queries jevida(강성욱) 2017.01.11 1404
1995 601 Error, Could not continue scan with NOLOCK due to SQL Server data Movement jevida(강성욱) 2017.01.11 4184





XE Login