Уведомления по электронной почте OSSEC HIDS каждые пять минут с сервера
Запустите SQL Profiler, создайте новую трассировку и подключение к SQL Server, который Вы хотите контролировать.
Осторожность, если это - очень занятый рабочий сервер затем, Вы не должны использовать SQL Profiler, поскольку это замедлит SQL Server
Я обычно использую "стандартный" профиль и затем редактирую его.
Нажмите на вкладку "Events Selection". Я обычно снял флажок "С контрольным входом в систему", "Контрольный выход из системы", "ExistingConnections" и "запуск Пакета RPC". Это дает хороший чистый вывод трассировки.
Удостоверьтесь, что "TextData" проверяется.
Можно добавить фильтр к трассировке "КАК %%" к столбцу TextData, но это будет только включать SQL-операторы, отправленные непосредственно на сервер. Если существуют хранимые процедуры затем, необходимо знать, какие хранимые процедуры касаются таблицы и фильтруют их.
Если Вы, курсор авеню запрашивает затем Вас, получите много материала "sp_fetch". Необходимо искать оператор DECLARE CURSOR с тем же идентификатором курсора.
Думая об этом, плохой курсор - для цикла может быстро вставить много тысяч "ошибочных" записей, и это может быть причиной этих больших инкрементных переходов.
Я верю взгляду как этому правилу, которое является ниже, в основном если я не ошибаюсь, что это - то, где OSSEC перестала работать через трещины и заканчивает тем, что поразила это правило. Всегда будет это увольнение правила, когда новые неизвестные системные журналы появятся, и в Вашем случае это были Кактусы, опрашивающие журнал, о котором это не знает.
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
Необходимо будет добавить правила соответствовать системным журналам, которые хороши и пишут правило предупредить на плохом.
Сайт OSSECs объясняет это здесь http://www.ossec.net/wiki/Know_How:Email_Alerts_below_7