如何跟蹤SQL Server失敗審計事件？

我最近接管了Windows 2003服務器的管理。應用程序日誌充滿了這樣的消息：如何跟蹤SQL Server失敗審計事件？

Event Type: Failure Audit 
Event Source: MSSQLSERVER 
Event Category: (4) 
Event ID: 18456 
Date: 3/5/2010 
Time: 4:00:30 PM 
User: N/A 
Computer: FAIROAKS1 
Description: 
Login failed for user 'administrator'. [CLIENT: <local machine>] 
Data: 
0000: 18 48 00 00 0e 00 00 00 .H...... 
0008: 0a 00 00 00 46 00 41 00 ....F.A. 
0010: 49 00 52 00 4f 00 41 00 I.R.O.A. 
0018: 4b 00 53 00 31 00 00 00 K.S.1... 
0020: 07 00 00 00 6d 00 61 00 ....m.a. 
0028: 73 00 74 00 65 00 72 00 s.t.e.r. 
0030: 00 00      ..  

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

我想弄清楚什麼程序導致這些。有沒有辦法跟蹤並找出哪個進程導致這些錯誤？

來源

2010-03-06 Tim Perry

你可能會在http://serverfault.com/ – 2010-03-08 16:42:03

上詢問這個問題，看着這個並且爲了清晰起見而編輯它。我將採取暴力方法，並關閉服務，直到消息停止.....KM：感謝您的建議;如果我的蠻力方法失敗，我會跟進。 – 2010-03-09 02:59:51

這是由於某些帳戶無法登錄到該服務器上安裝的SQL Server實例導致的。

上面的消息意味着有一個名爲「administrator」的SQL登錄名（不是Windows身份驗證），它不在sys.server_principals中設置，或者使用的密碼不正確。

現在，如果您運行SQL事件探查器，那麼您應該能夠捕獲連接嘗試，包括主機名和應用程序名稱。 Audit Login Failed Event Class是一個很好的起點。

潛在的，這是一個嚴重的問題：它可能是一個攻擊失敗的監視器嘗試。但很好，你可以關閉你的SQL Server實例，沒有人注意到...... :-)

來源

2010-04-03 10:19:41 gbn

SQL Profiler ...這是我需要:)謝謝！ – 2010-04-05 21:56:04

如何跟蹤SQL Server失敗審計事件？

回答

相關問題