SQL Server 连接尝试记录在哪里？

Question

SQL Server 是否有用于尝试连接的外部日志文件或内部表，或者此类信息是否放置在 Windows 事件日志中的某个位置？

Answer 1

您可以启用连接日志记录。对于 SQL Server 2008，您可以启用登录审核。在 SQL Server Management Studio 中，打开 SQL Server 属性 >安全>登录审核选择“登录失败和成功”。

确保重新启动 SQL Server 服务。

完成此操作后，连接尝试应记录到 SQL 的错误日志中。可以在此处确定物理日志位置。

Answer 2

检查连接尝试的另一种方法是查看服务器的事件日志。在我的 Windows 2008 R2 Enterprise 计算机上，我打开了服务器管理器（右键单击计算机并选择管理。然后选择诊断 -> 事件查看器 -> Windows 日志 -> 应用程序。
您可以过滤日志以隔离 MSSQLSERVER 事件。
我发现了一个看起来像

用户“虚假”登录失败的号码。用户未与受信任的 SQL Server 连接关联。 [客户端：10.12.3.126]

Answer 3

如果您只想跟踪失败的登录，可以使用 SQL Server 审核功能（在 SQL Server 2008 及更高版本中提供）。您需要添加要审核的 SQL Server 实例，并检查要审核的失败登录操作。

注意：通过 SQL Server Audit 跟踪失败的登录有其缺点。例如 - 它不提供所使用的客户端应用程序的名称。

如果您想要审核客户端应用程序名称以及每次失败的登录，您可以使用扩展事件会话。

为了让您开始，我建议阅读这篇文章：http ://www.sqlshack.com/using-extended-events-review-sql-server-failed-logins/