如何解讀SQL Server日誌(2/3)

接下來講說返回的RowLogo Content列，例子中返回了三個列。這些列包含了數據操做的「有效工做負載(Playload)」記錄。根據不一樣操做類型有效負載的內容也是不一樣的，可是它必須包含足夠的信息，能讓相應的數據操做在恢復時能被REDO和UNDO。對於每個INSERT而言，它包含了插入行的全部數據。咱們來驗證一下，先看看RowLogo Contents 0的內容：

0x10002400010000007374616E64616C6F6E6520786163742020202020797D6F0064A60000030000

而後再看DBCC PAGE中Slot 0的內容：

0000000000000000:   10002400 01000000 7374616e 64616c6f 6e652078  ..$.....standalone x
0000000000000014:   61637420 20202020 797d6f00 64a60000 030000    act     y}o.d......

DBCC PAGE輸出行的內容被分紅了左、中、右三個部分：

• 左：表示對應內容在行內的字符位置(或者起始偏移量)
• 中：表示存儲在頁上實際數據，由5段8位的16進制數組成
• 右：實際數據的ASCII表示形式，只有字符數據可以被辨認出來。
  BY Joe .TJ

對比RowLogo Contents 0和DBCC PAGE輸出Slot 0的中段數據，發現二者數據是同樣的。同時證實了LOP_INSERT_ROWS操做的RowLogo Contents 0日誌內容包含了完整的被插入數據的內容。然而，經過分析RowLogo Contents的內容去找出某一特定的行，這個是很是困難的事情。若是你熟悉行結構，RowLogo Contents 0 列的內容能夠分解爲：

• 1000 (列頭，2Bytes狀態位)
• 2400 (2Bytes 列數量值的Offset量，也表示列數量值前有多少字節被使用)
• 01000000 (ID列,INT)
• 7374616E64616C6F6E6520786163742020202020 (data列，char(20))
• 797D6F0064A60000 (created_at列，datetime)
• 0300 (列數量,2Bytes)

• 00 (NULL位圖=Ceiling(NULL列數量/8))

  關於行結構的更多內容，參考《SQL Server 2012 Internals》第六章'Table Storage'中的'The structure of data row'部分。行結構圖：
  

我用幾個例子來講明如何使用這些知識幫助咱們解決問題。先修改表中的數據：

insert into demotable (data) values ('junk'), ('important'), ('do not change!');
update demotable set data='changed' where data = 'do not change!';
update demotable set created_at = getutcdate() where data = 'changed';
delete from demotable where data='important'

通過上面的修改，新插入的三行中只有('junk')沒有改變。('do not changed')被改爲了('change'),建立時間也被改爲如今的UTC時間。important行被刪除了。咱們可否從日誌找到這些修改操做對應的日誌呢？先從較簡單的問題開始

• 找到'junk'相關的日誌

由於'junk'還存在於表中，咱們經過找到它的lockres,而後根據lockres去搜索日誌中的[Lock Information]，再從匹配的行中[Transaction ID]字段獲得INSERT的事務ID，再經過事務ID去找出與這個事務相關的全部日誌記錄。

--get lockres value of 'junk'
declare @lockres nchar(14);
select top(1) @lockres=%%lockres%%
from dbo.demotable
where data='junk';

--Using lockres to find Transaction ID
declare @xactid nvarchar(14);
select top(1) @xactid=[Transaction ID] from sys.fn_dblog(null,null)
where CHARINDEX(@lockres,[Lock Information] )>0

--get all log record of the found Transaction ID
select [Current LSN], [Operation], [Transaction ID], 
    [Transaction SID], [Begin Time], [End Time]  
from sys.fn_dblog(null,null)
where [Transaction ID]=@xactid;

Current LSN             Operation             Transaction ID  Transaction SID      Begin Time               End Time
----------------------- ---------------- -------------------- ------------------ ----------------------- ---------
00000023:0000007b:0001  LOP_BEGIN_XACT       0000:00000363     0x01                 2016/08/19 14:50:27:917  NULL
00000023:0000007b:0002  LOP_INSERT_ROWS      0000:00000363     NULL                 NULL                     NULL
00000023:0000007b:0003  LOP_INSERT_ROWS      0000:00000363     NULL                 NULL                     NULL
00000023:0000007b:0004  LOP_INSERT_ROWS      0000:00000363     NULL                 NULL                     NULL
00000023:0000007b:0005  LOP_COMMIT_XACT      0000:00000363     NULL                 NULL            2016/08/19 14:50:27:920

使用上面的方法時，我假設了幾個前提：

• lockres是惟一的，沒有HASH碰撞
• 鎖定行的第一個事務就是我想找的事務

在現實中狀況不會這麼簡單：HASH碰撞的問題，可能有不少事務曾鎖定過這一行等等。

• 找出把'do not change!'修改爲'changed!'的事務

跟以前的思路差很少，先從表中存的'changed'找到lockres，而後根據lockres找到全部事務ID，而後再找出全部的日誌記錄。

--get lockres value of the updated 'changed'
declare @lockres nchar(14);
select @lockres=%%lockres%%
from dbo.demotable
where data='changed';

--Using lockres to find ALL relevant Transaction IDs
declare @xactid table (xid nvarchar(14));
insert into @xactid
select [Transaction ID] 
from sys.fn_dblog(null,null)
where CHARINDEX(@lockres,[Lock Information] )>0

--get all log records of the found Transaction ID
select [Current LSN], [Operation], [Transaction ID], 
    [Transaction SID], [Begin Time], [End Time],
    [Num Elements], [RowLog Contents 0], [RowLog Contents 1], 
    [RowLog Contents 2],
    [RowLog Contents 3], [RowLog Contents 4], [RowLog Contents 5]
from sys.fn_dblog(null,null)as a
join @xactid b 
on a.[Transaction ID]=b.xid

從結果能夠看到，有2個LOP_MODIFY_ROW操做的日誌，怎麼知道哪一條日誌是我想要找的？在查詢時，我增了[Num Elements]列，由於[Num Elements]=6，表示這個操做有6個有效工做負載，因此我增長了和[RowLog Contents 0]到[RowLog Contents 5]這6個字段。這個6個字段中，包含全部的效工做負載。咱們以前說過，日誌必須包含足夠多的信息，才能支持恢復時的REDO和UNDO。也諒是說這個6個有效工做負載包含了修改先後的數據。從LSN=00000023:0000007d:0002的LOP_MODIFY_ROW的[RowLog Contents 0]和[RowLog Contents 1]的有效負載內容，能夠看出是ASCII。因而：

select cast(0x646F206E6F74206368616E676521 as char(20)),
cast (0x6368616E67656420202020202020 as char(20))
-------------------- --------------------
do not change!       changed

如今咱們能夠肯定事務0000:00000364諒是咱們要找的UPDATE的日誌。而後經過[Begin Time]和[Transaction SID]能夠誰何時修改了這條數據。

• 找出刪除'important'的日誌

'important'被刪除了，因此沒有辦法使用lockres來尋找。若是咱們知道它的ID值，咱們能夠插入一條相同ID的記錄，它會生成同樣lockres，惋惜咱們也不知道ID值。咱們現知道的只有data列的值爲'important'，若是'important'在data列中的篩選度足夠高的話，能夠嘗試經過[Log Record]去找到一些匹配的日誌記錄。

select [Current LSN],Operation,Context,[Transaction ID]
from fn_dblog(null, null)
where charindex(cast('important' as varbinary(20)), [Log Record]) > 0;

Current LSN             Operation        Context           Transaction ID
----------------------- ---------------- ----------------- --------------
00000023:0000007b:0003  LOP_INSERT_ROWS  LCX_CLUSTERED     0000:00000363
00000023:0000007f:0002  LOP_DELETE_ROWS  LCX_MARK_AS_GHOST 0000:00000366

select [Current LSN], [Operation], [AllocUnitName], [Transaction Name]
    from fn_dblog(null, null)
    where [Transaction ID] = '0000:00000366';

從找到的結果，能夠看出LOP_INSERT_ROWS是的插入時的操做，LOP_DELETE_ROWS是一個插入操做。咱們能夠試着用LOP_DELETE_ROWS 的事務0000:00000366去找到相關的日誌記錄。例子中這種複雜粗暴找到日誌的方式在現實中可能會很是困難。例子用的一個簡單的ASCII的字符串，若是是其它類型的，你須要知道值在SQL Server中的內部表示形式(如numeric,decimal)，還要用寫出正確的Intel平臺的LSB值 (如int,datetime)。這個是很是很是困難的。