我们有遗留应用程序,有很多用户连接到我们的遗留系统。我们了解我们的工作和数据库维护活动。但是,我们看到很多不同的用户也在访问生产系统。我们希望捕获最少量的扩展事件,以查看不同的第三方用户是什么以及他们正在运行哪些查询。
我们的扩展活动会话当前配置:
我们添加了以下事件。我们在服务器中为我们的数据库应用了过滤器。我们正在写入限制为 5 GB 的磁盘文件目标并回收文件,以避免文件系统膨胀。
- module_end(附加事件字段:语句)
- rpc_completed(附加事件字段:语句)
- sql_batch_completed(附加事件字段:批处理文本)
我们正在捕获以下全局字段。
- 客户端应用程序名称
- database_id
- nt_username
- sql文本
- 用户名
但是,即使是上面的一个,对于生产系统来说也是压倒性的。所以,我们正在努力减少捕获量。
我们针对最小扩展事件的计划变更捕获:
- 除数据库过滤器外,应用过滤器以从事件捕获中删除已知用户
- 只需捕获 rpc_completed、sql_batch_completed 事件
- 只需捕获client_app_name,database_id,username全局字段,因为我们可以从事件字段中获取sql语句:语句
我们的问题: 请建议,我们是否在最小配置模式下配置了扩展事件会话。或者您是否建议对活动会话进行更多更改。
谢谢你的帮助。
更新:我们的修改脚本供参考
ALTER EVENT SESSION [Audit_UserActivities] ON SERVER
DROP EVENT sqlserver.module_end, DROP EVENT sqlserver.rpc_completed, DROP EVENT sqlserver.sql_batch_completed
ALTER EVENT SESSION [Audit_UserActivities] ON SERVER
ADD EVENT sqlserver.rpc_completed(
ACTION(sqlserver.client_app_name,sqlserver.database_id,sqlserver.username)
WHERE (([sqlserver].[like_i_sql_unicode_string]([sqlserver].[database_name],N'DBPrefix%')) OR (([sqlserver].[equal_i_sql_unicode_string]([sqlserver].[database_name],N'DBName')) AND ([sqlserver].[username]<>N'DBSysadminUser')))), ADD EVENT sqlserver.sql_batch_completed(SET collect_batch_text=(1)
ACTION(sqlserver.client_app_name,sqlserver.database_id,sqlserver.username)
WHERE (([sqlserver].[like_i_sql_unicode_string]([sqlserver].[database_name],N'DBPrefix%')) OR (([sqlserver].[equal_i_sql_unicode_string]([sqlserver].[database_name],N'DBName')) AND ([sqlserver].[username]<>N'DBSysadminUser'))))
GO