嘿，这个需求太贴合企业里的数据安全管控场景了！我给你梳理几个实用的方案，你可以根据自己的SQL Server版本和管控力度来选：

这是SQL Server自带的审计功能，适合需要留痕、合规检查的场景，性能影响也比较可控。

步骤大概是这样：

1. 先创建一个审计对象（指定审计日志的存储位置，比如文件、Windows事件日志）：

CREATE SERVER AUDIT [UnapprovedUpdateAudit]
TO FILE (FILEPATH = 'D:\SQLAuditLogs\')
WITH (QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE);
ALTER SERVER AUDIT [UnapprovedUpdateAudit] WITH (STATE = ON);

2. 再创建数据库级的审计规范，专门跟踪UPDATE操作，并且过滤掉批准的应用：

CREATE DATABASE AUDIT SPECIFICATION [TrackUnapprovedUpdates]
FOR SERVER AUDIT [UnapprovedUpdateAudit]
ADD (UPDATE ON DATABASE::YourDatabaseName BY PUBLIC)
WITH (STATE = ON);

3. 如果要精准过滤客户端程序（SQL Server 2016及以上支持），可以修改审计规范的WHERE子句：

ALTER DATABASE AUDIT SPECIFICATION [TrackUnapprovedUpdates]
ADD (UPDATE ON DATABASE::YourDatabaseName BY PUBLIC)
WITH (WHERE program_name NOT LIKE '%ApprovedAppName%'); -- 这里填你批准的应用名称

审计日志可以通过sys.fn_get_audit_file函数查询，之后你可以配置SQL Server Agent作业定期检查日志，触发邮件告警。

这个比传统SQL Trace轻量太多，性能影响极小，适合做实时的UPDATE操作监控。

你可以创建一个事件会话，捕获sql_statement_completed事件，过滤出UPDATE语句和不允许的客户端：

CREATE EVENT SESSION [TrackUnapprovedUpdates] ON SERVER 
ADD EVENT sqlserver.sql_statement_completed(
    ACTION(sqlserver.program_name, sqlserver.login_name, sqlserver.host_name)
    WHERE (sqlserver.like_i_sql_unicode_string(sqlserver.statement, N'UPDATE%') 
        AND (sqlserver.program_name = N'Microsoft SQL Server Management Studio' 
        OR sqlserver.program_name = N'SQLCMD.exe' 
        OR sqlserver.program_name = N'.NET SqlClient Data Provider'))) -- 列出来不允许的客户端
ADD TARGET package0.event_file(SET filename=N'D:\XEvents\TrackUnapprovedUpdates.xel')
WITH (STARTUP_STATE=ON);
ALTER EVENT SESSION [TrackUnapprovedUpdates] ON SERVER STATE=START;

之后可以通过读取事件文件来监控，或者搭配SQL Server Agent的Alert功能，当捕获到符合条件的事件时自动发送告警邮件。

如果只是针对特定几张表，用触发器快速实现拦截和告警也很方便，不过要注意触发器会对性能有一定影响，尤其是高并发场景。

比如创建一个表级触发器，拦截来自非批准应用的UPDATE：

-- 先创建一个审计表用来记录违规操作
CREATE TABLE Audit_UnapprovedUpdates (
    AuditID INT IDENTITY(1,1) PRIMARY KEY,
    LoginName NVARCHAR(128),
    ProgramName NVARCHAR(128),
    HostName NVARCHAR(128),
    UpdateTime DATETIME DEFAULT GETDATE(),
    AffectedTable NVARCHAR(128),
    UpdateStatement NVARCHAR(MAX)
);

-- 创建触发器
CREATE TRIGGER trg_BlockUnapprovedUpdates ON YourTargetTable
AFTER UPDATE
AS
BEGIN
    SET NOCOUNT ON;
    
    DECLARE @programName NVARCHAR(128) = (SELECT program_name FROM sys.sysprocesses WHERE spid = @@SPID);
    DECLARE @loginName NVARCHAR(128) = SUSER_SNAME();
    DECLARE @hostName NVARCHAR(128) = HOST_NAME();
    DECLARE @updateStmt NVARCHAR(MAX) = (SELECT TEXT FROM sys.dm_exec_sql_text(@@SPID));

    -- 检查是否是不允许的客户端
    IF @programName IN ('Microsoft SQL Server Management Studio', 'SQLCMD.exe', '.NET SqlClient Data Provider')
       AND @programName NOT LIKE '%ApprovedAppName%' -- 排除批准的应用
    BEGIN
        -- 记录违规日志
        INSERT INTO Audit_UnapprovedUpdates (LoginName, ProgramName, HostName, AffectedTable, UpdateStatement)
        VALUES (@loginName, @programName, @hostName, 'YourTargetTable', @updateStmt);
        
        -- 抛出错误并回滚操作
        RAISERROR('警告：仅允许通过批准的应用执行UPDATE操作，你的操作已被拦截并记录', 16, 1);
        ROLLBACK TRANSACTION;
    END
END

如果要监控所有用户表，可以写个脚本批量给每个表创建类似的触发器。

要注意program_name是可以被客户端伪造的，如果需要更严格的管控，建议搭配以下措施：

• 给批准的应用创建专属的SQL登录/AD账户，仅允许该账户执行UPDATE操作
• 结合IP地址过滤，只允许批准的应用服务器IP连接数据库
• 使用应用程序角色，确保只有通过批准应用的上下文才能执行UPDATE

内容的提问来源于stack exchange，提问作者DK2014