CentOS SQL Server日志分析技巧

CentOS 上 SQL Server 日志分析实用技巧

一 日志类型与定位

• 错误日志 Errorlog：记录实例启动/关闭、配置变更、登录失败、备份还原、CHECKDB、I/O 延迟与严重错误等，是排障首选。Linux 上默认路径为：/var/log/mssql/errorlog；同时可用 journalctl -u mssql-server 查看 systemd 服务日志。SQL Server 还会自动轮转错误日志，通常保留最近 6 个归档（ERRORLOG、ERRORLOG.1 … ERRORLOG.6）。
• 事务日志 Transaction Log：每个数据库的事务日志（.ldf）用于恢复与回滚，不直接阅读，需通过 T-SQL 观察空间与内容。
• SQL Server Agent 日志：作业历史与代理自身事件，便于定位计划任务失败与步骤报错。

二 快速查看与检索

• 查看服务与系统日志
  • 服务状态与实时日志：
    • systemctl：sudo systemctl status mssql-server
    • journalctl：sudo journalctl -u mssql-server -f（实时跟踪）
• 查看 SQL Server 错误日志
  • 直接读文件：less /var/log/mssql/errorlog 或 tail -n 200 /var/log/mssql/errorlog | grep -i error
  • T-SQL 读取错误日志（按行输出，便于脚本处理）：
    • 当前日志：EXEC sp_readerrorlog;
    • 指定日志文件（如第 2 个归档）：EXEC sp_readerrorlog 2;
    • 按条件过滤（如含“Login failed”）：EXEC sp_readerrorlog 0, 1, ‘Login failed’;
• 查看数据库事务日志空间
  • 快速了解各库日志占用：DBCC SQLPERF(LOGSPACE);
• 查看事务日志内容（谨慎在生产库执行）
  • 低开销摘要：DBCC LOGINFO(‘YourDB’);
  • 详细内容（可能很大）：DBCC LOG(YourDB);
• 轮转错误日志（释放当前日志句柄，便于归档与清理）
  • T-SQL：EXEC sp_cycle_errorlog; （无需重启实例）

三 常见故障与异常定位要点

• 登录失败与暴力尝试
  • 错误特征：Error 18456，Severity 14。常见 State 含义：7 账号被禁用且密码错误、8 密码错误、11 登录有效但服务器访问失败。
  • 检索命令：EXEC sp_readerrorlog 0, 1, ‘18456’; 并结合 journalctl 与系统防火墙/安全设备日志做来源追踪。
• 死锁与阻塞
  • 死锁：启用跟踪标志 1204/1222 将死锁图形/文本写入错误日志。Linux 上可用 mssql-conf 持久化：
    • 启用：sudo /opt/mssql/bin/mssql-conf traceflag 1204 1222 on
    • 重启后生效。检索：在 errorlog 中搜索 “deadlock” 或 “1222”。
  • 阻塞：错误日志通常不记录普通阻塞与超时，建议配合性能监视器、扩展事件或 SQL Server Profiler 深入分析。
• 数据库启动失败、恢复挂起与一致性错误
  • 典型线索：错误日志出现 824/5105 等 I/O 或文件激活错误，数据库可能进入 RECOVERY_PENDING。
  • 处置思路：先保护现场（备份可用文件），再依据错误日志定位是日志损坏、文件缺失还是异常关机，优先从备份恢复；万不得已再考虑重建日志（高风险，可能破坏业务逻辑一致性）。
• 磁盘与权限问题
  • 检查服务状态与日志输出，确认 /var/opt/mssql 目录权限为 mssql:mssql，必要时：
    • sudo chown -R mssql:mssql /var/opt/mssql
    • 确认数据/日志目录挂载与剩余空间充足。

四 日志轮转与保留策略

• 错误日志轮转
  • SQL Server 自动维护 6 个归档；需要立即轮转可用 EXEC sp_cycle_errorlog; 。
• systemd 日志轮转
  • 通过 journald 配置保留策略（如 MaxRetentionSec、MaxFileSec、SystemMaxUse），避免 journal 无限增长。
• 容器场景
  • 若 SQL Server 运行于 Docker，将宿主机的 /var/log 或日志目录挂载到卷，由宿主机或容器编排平台（如 Kubernetes）进行日志采集与轮转。

五 集中化分析与自动化

• 集中化采集与可视化
  • 使用 rsyslog/ELK（Elasticsearch, Logstash, Kibana）/Splunk 收集 /var/log/mssql/errorlog 与 journalctl 输出，构建仪表盘与告警规则（如 “Login failed 18456 > 5 次/分钟”）。
• 审计与登录审计
  • 通过 1204/1222 记录死锁；在 SSMS 启用登录审核（失败与成功）并结合错误日志与代理作业历史进行合规审计。
• 性能与问题定位建议
  • 错误日志不覆盖阻塞/超时等性能问题，建议结合 Extended Events、SQL Server Profiler 与性能计数器建立长期基线。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！