SQL2005表数据被恶意修改 程序系统都已经很稳定,用了5年,最近一个月,有一个表的数据被恶意修改了3次,而终端程序是没有这个字段的UPDATE语句的。现在怀疑是被恶意修改。请问各位有什么办法查出是哪台机器,什么时候改的吗? 我已经下载了Log Explorer4.2想查看事务日志,但发现这个工具用不了。 大家有什么好的办法,帮帮忙啊,谢谢了! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 用什么工具?我说了我用了Log Explorer4.2,这个工具现在对SQL2005不支持了啊 支持的 】使用Log Explorer查看和恢复数据 Log Explorer 4.1.可用于SQL Server2005的日志查看工具下载地址:http://download.csdn.net/source/620271使用方法:打开Log Explorer -> Attach Log File -> 选择SQL Server服务器和登陆方式 -> Connect -> 在Database Name中选择数据库 -> Attach-> 左面对话框中Browse-> View Log-> 就可以看到log记录了 想恢复的话: 右键Log记录 Undo Transation-> 选择保存文件名和路径-> 然后打开该文件到查询分析器里执行 T-sql代码就可以了 例如 如果Log是delete table where ...的话,生成的文件代码就是insert table .... 然后将此insert table的代码放到查询分析器里执行.就可以恢复数据.------------------------------------------------------------------------如何恢复被delete/update的数据---------------------------------------------------------------------- 1 连接到被删除数据库的Db打开log explorer 选择 "file"->"attach log file"->选择服务器和登陆方式->"connect"->选择"数据库"->"attach"2 查看日志 在左面操作项目的对话框中选择"browse"项目->"view log"->就可以看到当前的Log记录了3 恢复数据 右键某一条log记录,选择"undo transation"->"选择保存文件名和路径"->然后打开该文件到查询分析器里执行T-sql代码就可以了例如: 如果log是delete table where ...的话,生成的文件代码就是insert table ....------------------------------------------------------------------------Log Explorer恢复被drop table和truncate table后的数据----------------------------------------------------------------------1 连接到被删除数据库的Db 操作同上2 恢复方法 1) 选择"salvaage dropped/truncate"菜单,在右边的对话框中选择表名,和droped/trucated的日期, File Name中选择生成insert语句脚步的存放位置,condition选择是droped还是truncated, 最后点击"create" 就会生成insert语句,把生成的语句到查询分析器里面执行一下就可以了 2) 选择"ViewDDL Commands"菜单->选"truncate table" 操作项->点击"Salvage"->生成语句->查询分析器里执行------------------------------------------------------------------------log explorer使用的几个问题----------------------------------------------------------------------1) 对数据库做完全/差异/日志备份备份时如果选用了删除事务日志中不活动的条目再用Log explorer打试图看日志时,提示No log recorders found that match the filter,would you like to view unfiltered data 选择yes 就看不到刚才的记录了如果不选用了删除事务日志中不活动的条目再用Log explorer打试图看日志时,就能看到原来的日志并做恢复2) 修改了其中一个表中的部分数据,此时用Log explorer看日志,可以作日志恢复3) 然后恢复备份,(注意:恢复是断开log explorer与数据库的连接,或连接到其他数据上,否则会出现数据库正在使用无法恢复)恢复完后,再打开log explorer 提示No log recorders found that match the filter,would you like to view unfiltered data,选择yes 就看不到刚才在2中修改的日志记录,所以无法做恢复.4) 不要用SQL的备份功能备份,搞不好你的日志就破坏了.正确的备份方法是:停止SQL服务,复制数据文件及日志文件进行文件备份.然后启动SQL服务,用log explorer恢复数据 fredrickhu:这个是骗人的,以前的版本可以,到了2005,根本看不了完整日志,只能看到一点点,还是随机的。 其实我上次也试了下log explorer,装都没装成功太凄惨了- - 我建议你认真阅读以下的三篇博文(英文)。这个对SQL2005可用。http://sqlfascination.com/2010/02/03/how-do-you-decode-a-simple-entry-in-the-transaction-log-part-1/http://sqlfascination.com/2010/02/05/how-do-you-decode-a-simple-entry-in-the-transaction-log-part-2/http://sqlfascination.com/2010/02/21/decoding-a-simple-update-statement-within-the-transaction-log/然后你可以针对你的感兴趣的数据日志进行分析。这个过程可能要花一些时间。 如果你是由WEB页面的注入而对数据库进行修改的话,查一查IIS的日志,那个更详细,包括执行时间,用户,IP,它的操作系统,IE版本等等... 表中加一个datetime类型字段,默认值是getdate(),另外此表设置一个update触发器,这样至少知道是什么时候被修改的,至于是那一个ip或者用户什么的,就没办法了,如晴天所言,靠楼主凭经验去综合分析了 开一个服务端的sql profiler 监控下吧 关于sql列的默认值 请问如何设置在sqlserver 2005启动时不自动显示摘要 请教---查出一个表中任何字段包含了指定的字符的记录. 求sql!急!!! vb和sql server 2005怎么连接? 关系数据库的特点和优点100分! 怎样修改记录(在线等) C/S的Internet连接问题,高手请进 我玩蛋了,在SQLSERVER7.0中,為麼數據庫恢復會出現以下錯誤??? ms sql server内存问题 请问一个sql语句的问题? sqlserver check约束能实现各列之间的数学计算吗?
】
使用Log Explorer查看和恢复数据 Log Explorer 4.1.可用于SQL Server2005的日志查看工具下载地址:
http://download.csdn.net/source/620271使用方法:打开Log Explorer -> Attach Log File -> 选择SQL Server服务器和登陆方式 -> Connect ->
在Database Name中选择数据库 -> Attach-> 左面对话框中Browse-> View Log-> 就可以看到log记录了 想恢复的话: 右键Log记录 Undo Transation-> 选择保存文件名和路径-> 然后打开该文件到查询分析器里执行
T-sql代码就可以了 例如 如果Log是delete table where ...的话,生成的文件代码就是insert table ....
然后将此insert table的代码放到查询分析器里执行.就可以恢复数据.
----------------------------------------------------------------------
--如何恢复被delete/update的数据
----------------------------------------------------------------------
1 连接到被删除数据库的Db
打开log explorer 选择 "file"->"attach log file"->选择服务器和登陆方式->"connect"->选择"数据库"->"attach"
2 查看日志
在左面操作项目的对话框中选择"browse"项目->"view log"->就可以看到当前的Log记录了
3 恢复数据
右键某一条log记录,选择"undo transation"->"选择保存文件名和路径"->然后打开该文件到查询分析器里执行
T-sql代码就可以了
例如: 如果log是delete table where ...的话,生成的文件代码就是insert table ....
----------------------------------------------------------------------
--Log Explorer恢复被drop table和truncate table后的数据
----------------------------------------------------------------------
1 连接到被删除数据库的Db
操作同上
2 恢复方法
1) 选择"salvaage dropped/truncate"菜单,在右边的对话框中选择表名,和droped/trucated的日期,
File Name中选择生成insert语句脚步的存放位置,condition选择是droped还是truncated,
最后点击"create" 就会生成insert语句,把生成的语句到查询分析器里面执行一下就可以了
2) 选择"ViewDDL Commands"菜单->选"truncate table" 操作项->点击"Salvage"->生成语句->查询分析器里执行
----------------------------------------------------------------------
--log explorer使用的几个问题
----------------------------------------------------------------------
1) 对数据库做完全/差异/日志备份
备份时如果选用了删除事务日志中不活动的条目
再用Log explorer打试图看日志时,提示No log recorders found that match the filter,would you like to view unfiltered data 选择yes 就看不到刚才的记录了如果不选用了删除事务日志中不活动的条目
再用Log explorer打试图看日志时,就能看到原来的日志并做恢复
2) 修改了其中一个表中的部分数据,此时用Log explorer看日志,可以作日志恢复
3) 然后恢复备份,(注意:恢复是断开log explorer与数据库的连接,或连接到其他数据上,
否则会出现数据库正在使用无法恢复)
恢复完后,再打开log explorer 提示No log recorders found that match the filter,would you like to view unfiltered data,选择yes 就看不到刚才在2中修改的日志记录,所以无法做恢复.
4) 不要用SQL的备份功能备份,搞不好你的日志就破坏了.正确的备份方法是:
停止SQL服务,复制数据文件及日志文件进行文件备份.然后启动SQL服务,用log explorer恢复数据
太凄惨了- -
http://sqlfascination.com/2010/02/03/how-do-you-decode-a-simple-entry-in-the-transaction-log-part-1/
http://sqlfascination.com/2010/02/05/how-do-you-decode-a-simple-entry-in-the-transaction-log-part-2/
http://sqlfascination.com/2010/02/21/decoding-a-simple-update-statement-within-the-transaction-log/然后你可以针对你的感兴趣的数据日志进行分析。这个过程可能要花一些时间。