Где регистрируются попытки подключения к SQL Server?

Question

Есть ли в SQL Server внешний файл журнала или внутренняя таблица для попыток подключений, или эта информация заносится в журнал событий Windows?

Answer 1

Вы можете включить ведение журнала соединения. Для SQL Server 2008 вы можете включить аудит входа в систему. В SQL Server Management Studio откройте Свойства SQL Server> Безопасность> Аудит входа в систему и выберите «И неудачные, и успешные входы».

Обязательно перезапустите службу SQL Server.

Как только вы это сделаете, попытки подключения должны быть зарегистрированы в журнале ошибок SQL . Физическое местоположение журналов может быть определено здесь .

Answer 2

Другой способ проверить попытки подключения - посмотреть журнал событий сервера.На моем компьютере с Windows 2008 R2 Enterprise я открыл диспетчер сервера (щелкните правой кнопкой мыши Компьютер и выберите Управление. Затем выберите Диагностика -> Просмотр событий -> Журналы Windows -> Приложение. Вы можете отфильтровать журнал, чтобы изолировать события MSSQLSERVER. Я нашелчисло, которое выглядело так:

Ошибка входа в систему для пользователя «фиктивный». Пользователь не связан с доверенным соединением с SQL Server. [КЛИЕНТ: 10.12.3.126]

Answer 3

Если вы хотите отслеживать только неудачные входы в систему, вы можете использовать функцию аудита SQL Server (доступно в SQL Server 2008 и более поздних версиях). Вам нужно будет добавить экземпляр SQL-сервера, который вы хотите проверить, и проверить операцию неудачного входа в систему для проверки.

Примечание: отслеживание неудачных входов в систему с помощью аудита SQL Server имеет свои недостатки. Например - он не предоставляет имена используемых клиентских приложений.

Если вы хотите проверять имя клиентского приложения вместе с каждым неудачным входом в систему, вы можете использовать сеанс расширенных событий.

Чтобы начать, я рекомендую прочитать эту статью: http://www.sqlshack.com/using-extended-events-review-sql-server-failed-logins/