如何查看SQL server的操作记录

打开log explorer file=>attach log file->选择服务器和登陆方式->connect->

选择数据库->attach->左面对话框中browse->view log->就可以看到log记录了

想恢复的话: 右键log记录 undo transation->选择保存文件名和路径->然后打开该文件到查询分析器里执行

T-sql代码就可以了

例如 如果log是delete table where 的话,生成的文件代码就是insert table

------------------------------------------------------------------------

log explorer使用的一个问题

1)对数据库做了完全 差异 和日志备份

备份时选用了删除事务日志中不活动的条目

再用Log explorer打试图看日志时

提示No log recorders found that match the filter，would you like to view unfiltered data

选择yes 就看不到刚才的记录了

如果不选用了删除事务日志中不活动的条目

再用Log explorer打试图看日志时，就能看到原来的日志

2)修改了其中一个表中的部分数据，此时用Log explorer看日志，可以作日志恢复

3)然后恢复备份，(注意:恢复是断开log explorer与数据库的连接，或连接到其他数据上，

否则会出现数据库正在使用无法恢复)

恢复完后，再打开log explorer 提示No log recorders found that match the filter，would you like to view unfiltered data

选择yes 就看不到刚才在2中修改的日志记录，所以无法做恢复

日志记录的数据,包括服务器上所有用户登录后的操作痕迹有：用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息。日志文件是重要的系统信息文件，日志是日记中的一种,多指非个人的,一般是记载每天所做的工作。如“教学日志”“班组日志”“工作日志”等。日记是对每天所遇到的事和所做的事的记录,有的兼记对这些事情的感受,有时也可不做记录,直接抒发感情。

大多数的网络系统管理员都会使用一些工具对服务器进行远程维护。对于采用Windows Server 2003操作系统的终端服务器来说，有三种不同的远程管理 方式。

一、终端+远程桌面连接

“终端+远程桌面连接”，这主要是用于网络管理员在自己固定的工作站上对服务器进行管理的一种方式，管理快速、安全，与坐在服务器前几乎没有区别。实现方法如下：

1 在Windows Server 2003中，从“控制面板”中进入“添加/删除程序”，单击“添加/删除Windows组件”按钮，从Windows组件向导对话框中添加“终端服务器”及“终端服务器授权”，并且按照默认方式安装。安装完成之后，重新启动服务器。

2 从“管理工具”中运行“终端服务器授权”程序，用鼠标右键单击计算机名，从出现的菜单中选择“激活服务器”，按照后面的步骤，激活终端服务器。

提示：如果管理员使用计算机的操作系统是Windows XP Professional以上，可以不必进行下面的第3、4步，而直接进行第5步。

3 将Windows Server 2003的计算机的%systemroot%\system32\clients\tsclient\win32目录下的“远程桌面连接”安装程序拷贝到网络管理员的工作站上，或者通过共享方式直接运行安装程序。其中%systemroot%是安装Windows Server 2003的系统目录，默认为Windows。

4 如果是在Windows 98的计算机上安装“远程桌面连接”程序，则需要在正式安装之前重新启动一次。如果使用Windows XP Professional的计算机进行管理，可以不必安装。

5 运行安装后的“远程桌面连接”程序，如果使用的是Windows XP，则点击“开始→所有程序→附件→通讯”即可进入远程桌面连接程序（图1）。

图 1

单击“选项”，打开远程桌面连接的所有选项进行设置（图2）。

图

在“计算机”栏中输入Windows Server 2003终端服务器的IP地址，在“用户名”栏输入管理员账号“Administrator”，在“密码”栏中输入该账号的密码，并勾选 “保存密码”。然后，选择进入“显示”选项卡，在“远程桌面大小”下面的滑动条处，可以更改管理的窗口大小，推荐采用“全屏”或“800×600”（如果当前分辨率为1024×768）。在“颜色”下面选择“增强色（16位）”。然后选中“全屏显示时显示连接栏”。

设置完成之后，进入“常规”选项卡，单击“另存为”按钮，将当前的设置保存到一个配置文件中，如命名为“windows2003-1rdp”的文件（以后我们直接用鼠标双击这个配置文件，就可以直接调用远程桌面连接程序，并按照当前的配置登录到终端服务器）。

现在我们就可以在远程桌面连接程序中，单击“连接”按钮，登录到服务器进行管理了（图3）。

图 3

在使用全屏模式进行管理时，与坐到服务器前使用服务器的键盘、鼠标进行管理是没有任何区别的。

二、终端+远程桌面Web

“终端+远程桌面Web”连接，这主要是网络管理员在局域网内解决问题时，偶尔对服务器进行一下管理的方法。

1在Windows Server 2003终端服务器中，点击“添加或删除程序→添加/删除Windows组件”，从“应用程序服务器→Internet信息服务（IIS）→万维网服务”组件窗口中选择“远程桌面Web连接”，之后按照默认的方式进行安装。

2在安装有IE 40以上的计算机中，打开IE浏览器，在地址栏处输入“http://192168199/tsweb”（其中192168199是安装有“远程桌面Web连接”组件的计算机）之后，将进入图4所示窗口。

图 4

提示：如果第一次使用远程桌面Web连接，将会弹出一个“安全设置警告”窗口，提示要安装“Remote Desktop ActiveX Control”控制，请选中“总是信任Microsoft Windows Publisher”，然后单击“是”按钮确认安装。

在图4中的“服务器”栏输入远程终端服务器的计算机名或TCP/IP地址，在“大小”后面选择窗口大小，如选择“全屏显示”。单击“连接”按钮，将会进入登录窗口，在登录窗口中输入管理员账号和密码，单击“确定”按钮即可以进入远程管理界面。这样就可以在IE浏览器中，远程管理和使用Windows Server 2003终端服务器了。

三、远程管理（HTML）

远程管理（HTML）方式，主要用于通过Internet对单位中的终端服务器进行管理，它具有安全、方便等特点。

当网络管理员出差在外需要管理服务器时，或者在家中需要管理服务器时，使用“远程桌面连接”程序管理，可能在有的时候找不到“远程桌面连接”程序的安装程序。如果采用远程桌面Web连接，使用IE进行管理时，并不安全（因为HTTP的连接不是安全的连接）。这时候，Windows Server 2003就提供了一种不需要终端服务器的、安全的Web连接方式进行远程管理，即远程管理（HTML）方式。实现方法如下：

1运行“添加或删除程序”中的“添加/删除Windows组件”，进入“应用程序服务器→Internet信息服务（IIS）→万维网服务”页面，选择“远程管理（HTML）”之后按照默认的方式进行安装。

2在远程的计算机上，打开IE浏览器，在地址栏中输入“https://202206197200:8098”（202206197200是安装远程管理的计算机的IP地址），之后会弹出一个安全警告对话框，单击“是”按钮后，将会弹出登录对话框（图5）。输入管理员账号及密码后，便可进入远程管理界面（图6）。

图 5

图 6

完成管理后，网络管理员直接关闭IE即可，因为我们是使用安全的Web连接方式。从理论上来说，使用这种连接不会被监听，也不会被记录与跟踪，即使网络管理员在网吧进行管理，也不用担心安全问题。

上面介绍的三种远程管理方法并不局限于三种主要使用范围，实际上，网络管理员可以在各种条件下使用其中的任意一种或多种管理方法，实现实际应用中的互补使用。

补充说明

●使用终端管理与远程管理（HTML）的区别

远程管理（HTML）功能，只能在Windows Server 2003上使用，Windows 2000 Server并没有这一项功能。

远程管理（HTML）主要用于通过Internet远程管理服务器的时候，而且是有限的管理，它不像终端服务那样功能全面，但对于日常的维护来说，已经足够了。并且，因为采用安全连接，网络管理员不用担心在管理过程中被窃听。

终端管理，是Windows 2000 Server、Windows Server 2003中均内置了的一种服务，使用非常方便、快速，但在通过Internet进行管理时，不是很方便，也有被窃听的可能。

●远程管理的服务器安装防火墙时的注意事项

如果远程管理的服务器处于防火墙的后面，为了能使用“远程桌面连接”程序进行终端管理，网络管理员需要在防火墙上打开相应的被管理服务器的TCP 3389端口，如果使用“远程桌面Web连接”进行管理，则还要打开TCP 80端口。使用“远程管理（HTML）”功能，需要打开TCP 8098端口。

在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'

history

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod 777 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H:%M:%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky$DT"

chmod 600 /tmp/dbasky/${LOGNAME}/dbasky 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，重新登录

上面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls

1018047 dbasky2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 1018047 dbasky2013-10-24_12:53:08

查看在12:53:08从1018047登录的root用户操作命令历史

如果公司用的是交换机分配网络的话，就很容易查得到，包括你上过上面网站，去过哪些子网页都可以查得到。解决办法：

1、找代理服务器上网，这个时候被记录下来的就是代理服务器的上网记录了，而不是你的，黑客技术中叫做找肉鸡，有时需要找多个肉鸡多级代理来增加被查询和跟踪的难度，来逃避被记录和查到；这个属于被动逃避；

2、攻击服务器相应服务，更改服务器记录日志或者数据库数据，或者让监控进程死掉，这样也能不被记录，这个属于主动攻击；注意：两个都需要一定的计算机网络知识，甚至是黑客技能才能做到，并且需要使用一定的工具软件才能完成，最好自己不要尝试，作为知识面了解即可。附：而且不同操作系统有不同方法，同种操作系统不同版本也有不同方法，这个不是短时间内能掌握的技术。

last查看最近可以的登录。由此判断那些人操作过。查找该文件去向。如果是仍然保存在本地的话你可以用命令：

find

/

-name

压缩包文件名

进行查找。如果是被删除那就不好找啦。