SQL Server數據庫告警改進

  考慮對生產環境全部SQL Server服務器開啓數據庫郵件功能，它是數據庫自帶的郵件發送功能，經過配置到郵件服務器的訪問，及時接收SQL Server事件告警。

  SQL Server警報是基於引擎的事件通知機制發送告警，當事件發生時出發告警通知。

 

  現階段，須要收集以下兩類SQL Server事件告警：

• Severity - 事件嚴重性級別13到25告警；
  
  

• Error Number - 包括操做系統錯誤、IO錯誤、內存錯誤、AlwaysOn狀態相關告警。
  
  

策略調整

  咱們考慮將這些須要監控的告警整合到應用程序日誌，接入ELK日誌分析系統。

  咱們瞭解到，在下列狀況下，SQL Server 和 SQL Server 應用程序產生的錯誤/消息將發送到Windows 應用程序日誌：

• 嚴重級別爲 19 或更高的 sys.messages 錯誤

• 任何使用 WITH LOG 語法調用的 RAISERROR 語句

• 全部使用 sp_altermessage 修改或建立的 sys.messages 錯誤

• 全部使用 xp_logevent 記錄的日誌事件
  
  引用自 https://docs.microsoft.com/en-us/sql/ssms/agent/create-an-alert-using-severity-level「Severity levels from 19 through 25 send a SQL Server message to the Microsoft Windows application log and trigger an alert. Events with severity levels less than 19 will trigger alerts only if you have used sp_altermessage, RAISERROR WITH LOG, or xp_logevent to force them to be written to the Windows application log. 」

針對上文提到、咱們須要監控的Severity和Error Number告警，咱們須要作以下變動調整：

• Severity - 通過討論，不記錄嚴重級別19如下的用戶級別的錯誤，19級別及以上的Fatal Error默認記錄到應用程序日誌，咱們不用作任何更改。

• Error Number - 須要監控的錯誤，根據附件的查詢結果，部分錯誤號的is_event_logged字段爲0，表示沒有記錄到應用程序日誌。能夠經過上面的sp_altermessage修改該字段爲1達到記錄到應用程序日誌的目的。