如何从日志集合中排除重用的池登录

Question

我在SSMS中创建了一个标准审计，方法是导航到安全性->审计->右击->新审计并将其绑定到安全性->服务器审核规范->右击->新服务器审核规范，其中包括捕获以下三个组: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_LOGIN_GROUP SUCCESSFUL_LOGIN_GROUP

我遇到的问题是，由于应用程序使用重用的池连接，日志正在加速填充，导致每台服务器每天收集10 of以上的数据。

是否有一种方法可以排除在发生时从池连接中重用的登录，而不是记录它们？如果可能的话，我仍然希望最初的连接被记录下来。

Answer 1

在审计日志中，有一个名为"additional_information“的字段，其中包含了(0或1)_connection>中的文本。

现在，我没有找到任何关于这个值意味着什么的很好的文档，但是经过一些内部测试之后，我们发现:0=初始池连接或非池连接1=重用池连接。

为了使可重用的连接远离日志，我在审计本身中使用了筛选器，并添加了以下内容：(Additional_Information类似于‘%<池_连接>0%’)

这似乎很管用！