트랜잭션 로그 백업을 읽고 트랜잭션 발생 시간 및 사용자 찾기

트랜잭션 로그 백업을 읽고 트랜잭션 발생 시간 및 사용자 찾기

 

• Version : SQL Server 2005, 2008, 2008R2, 2012, 2014

 

데이터베이스에서 발생하는 행위는 모두 트랜잭션 로그에 기록된다. 트랜잭션 로그를 읽는 방법과 트랜잭션 로그에서 삭제된 데이터 복구, 삭제한 사용자 찾기에 대한 내용은 이전 아티클을 참고 한다.

• SQL Server 트랜잭션 로그 읽기 : http://sqlmvp.kr/140202102618
• 트랜잭션 로그 및 LSN을 이용한 삭제된 데이터 복구 : http://sqlmvp.kr/140206499367
• SQL Server에서 Drop 및 Delete 사용자 찾기 : http://sqlmvp.kr/140202164558
• 변경된 테이블 이름 복구하기 : http://sqlmvp.kr/140203760440

 

누군가 일부 데이터를 삭제 하였을 경우 fn_dblog()를 실행하여 활성 트랜잭션로그파일에서 정보를 확인 할 수 있었다. 하지만 로그가 플러쉬 된 경우에는 아무런 정보를 확인 할 수 없다. 이때 세부 정보를 확인 하기 위해 문서화되지 않은 fn_dump_dblog()를 사용하여 트랜잭션백업파일에서 삭제된 시간 및 사용자를 확인할 수 있다.

 

이 시나리오는 일반적인 데이터베이스 운영환경 (전체 백업 및 트랜잭션 로그 백이 진행되고 있는상황)을 가장하고 진행 하였다.

 

테스트를 위해 샘플 데이터를 생성 한다. 20건의 데이터를 생성한다.

create table ReadingDBLog( Num int, RegDate datetime, Name nvarchar(50) ) go   insert into ReadingDBLog values (1, getdate(), 'KSW') insert into ReadingDBLog values (2, getdate(), 'KSW') insert into ReadingDBLog values (3, getdate(), 'KSW') insert into ReadingDBLog values (4, getdate(), 'KSW') insert into ReadingDBLog values (5, getdate(), 'KSW') insert into ReadingDBLog values (6, getdate(), 'KSW') insert into ReadingDBLog values (7, getdate(), 'KSW') insert into ReadingDBLog values (8, getdate(), 'KSW') insert into ReadingDBLog values (9, getdate(), 'KSW') insert into ReadingDBLog values (10, getdate(), 'KSW') insert into ReadingDBLog values (11, getdate(), 'KSW') insert into ReadingDBLog values (12, getdate(), 'KSW') insert into ReadingDBLog values (13, getdate(), 'KSW') insert into ReadingDBLog values (14, getdate(), 'KSW') insert into ReadingDBLog values (15, getdate(), 'KSW') insert into ReadingDBLog values (16, getdate(), 'KSW') insert into ReadingDBLog values (17, getdate(), 'KSW') insert into ReadingDBLog values (18, getdate(), 'KSW') insert into ReadingDBLog values (19, getdate(), 'KSW') insert into ReadingDBLog values (20, getdate(), 'KSW') go

 

아래 스크립트를 사용하여 < 10 행을 삭제 한다.

DELETE ReadingDBLog WHERE Num < 10 go   select * from ReadingDBLog

 

 

현재 활성 로그를 플러시 하기 위해 트랜잭션 로그 백업 또는 전체 백업을 진행 한다.

BACKUP DATABASE SW_TEST TO DISK ='C:\SQL_Backup\SW_TEST.BAK' BACKUP LOG SW_TEST TO DISK ='C:\SQL_Backup\SW_TEST_201504230945.trn'

 

백업이 완료되고 기존 fn_dblog()를 사용하여 활성 트랜잭션 로그 정보를 보면 아무것도 나타나지 않는다.

SELECT     [Current LSN],     [Transaction ID],     [Transaction Name],     Operation,     [Begin Time] FROM fn_dblog(NULL, NULL) WHERE [Operation] = 'LOP_DELETE_ROWS'

 

 

이 시점에서 문서화 되지 않은 fn_dbump_dblog를 사용해서 트랜잭션로그백업 정보를 읽을 수 있다. 이 함수는 많은 파라메터를 요구하지만 백업 파일 이름과 위치만 입력하고 나머지는 DEFAULT 값을 입력 한다. 이 코드를 실행 하면 해당 트랜잭션백업 파일의 모든 행의 목록을 얻을 수 있다. 다른 트랜잭션로그 백업의 정보를 확인 할 때에는 참조하는 파일의 이름을 변경하면 된다.

SELECT     [Current LSN], [Transaction ID], [Transaction Name], [Operation], [Begin Time], [PartitionID], [TRANSACTION SID] FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn', DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT) WHERE Operation = 'LOP_DELETE_ROWS' GO

 

 

아래 스크립트는 위 단계에서 찾은 PartitionID와 Transaction ID를 활용하여 LOP_BEGIN_XACT을 찾는다. 트랜잭션이 시작되었을 때의 정보를 확인 할 수 있지만 어느 테이블에 작업이 진행되었는지는 나타나지 않는다.

SELECT     [Current LSN], [Transaction ID], [Transaction Name], [Operation], [Begin Time], SUSER_SNAME([TRANSACTION SID]) as [LoginName] FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT) WHERE [Transaction ID] = '0000:0000031e'     AND Operation = 'LOP_BEGIN_XACT' GO

 

 

다음 스크립트는 fn_dump_dblog()에서 찾은 파티션 ID값을 사용하여 실제 어느 테이블에서 삭제 작업이 진행 되었는지, 누가 삭제 하였는지에 대한 정보를 확인 할 수 있다.

SELECT so.* FROM sys.objects so INNER JOIN sys.partitions sp on so.object_id = sp.object_id WHERE partition_id = 72057594039042048

 

 

 

다음 스크립트는 위에서 찾은 name 정보를 활용하여 총 몇건의 데이터가 삭제되었는지 한번에 확인 하는 스크립트이다. 사용자에 따라 where name = '??' 구문을 수정하여 사용한다.

WITH CTE as (SELECT [Transaction ID], count(*) as DeletedRows FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn', DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT) WHERE Operation = ('LOP_DELETE_ROWS') AND [PartitionId] in (SELECT sp.partition_id FROM sys.objects so INNER JOIN sys.partitions sp on so.object_id = sp.object_id WHERE name = 'queue_messages_1067150847') GROUP BY [Transaction ID] ) SELECT [Current LSN], a.[Transaction ID], [Transaction Name], [Operation], [Begin Time], SUSER_SNAME([TRANSACTION SID]) as LoginName, DeletedRows FROM fn_dump_dblog (NULL, NULL, N'DISK', 1, N'c:\SQL_Backup\SW_TEST_201504230945.trn',     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT,     DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT, DEFAULT) as a INNER JOIN cte on a.[Transaction ID] = cte.[Transaction ID] WHERE Operation = ('LOP_BEGIN_XACT')

 

 

 

[참고자료]

http://www.mssqltips.com/sqlservertip/3555/read-sql-server-transaction-log-backups-to-find-when-transactions-occurred/

 

 

2015-04-23 / 강성욱 / http://sqlmvp.kr

 

 

SQLSERVER, mssql, SQL튜닝, 강성욱, SQL강좌, DB복원, 데이터복구, 트랜잭션로그, LSN, STOPBEFORREMARK, fn_dump_dblog(), fn_dblog()