从事件查看器跟踪程序

Question

事件日志中有数百个Server登录失败错误。如何找到生成它们的应用程序？

服务器上有很多潜在的候选服务器，因为它作为SA登录，就像一半的应用程序一样，我只知道用户名是不够的。

这是三次登录尝试每秒一天，直到一个点，所有网站停止了大约30秒。出现一些asp.net错误，然后返回到每秒3次失败的SQL登录。

但我看不出有什么办法能追踪到实际的程序名。

Answer 1

失败的登录错误通常如下所示：

Login failed for user 'bob'. 
Reason: Could not find a login matching the name provided. [CLIENT: 10.59.68.215]

如果您试图将问题隔离到特定的服务器上，则应该在错误消息中清楚地显示客户端的IP地址，这样至少可以为您提供一些可以处理的内容。

如果你想把它进一步固定下来，请启动服务器事件探查器。以前有些版本的Server无法使用它，但是服务器2012快递SP1管理最终包含了它，这意味着它对每个人都是可用的！

使用Profiler登录到服务器后，使用“事件选择”选项卡并选择显示“所有事件”和“所有列”。您需要选中Security Audit --> Audit Login Failed左侧的复选框，然后使用Run按钮。

然后，简单地让分析器运行，直到你看到一个命中或三个。这将显示其他信息，包括应用程序名称和客户端进程ID。

EventClass:      Audit Login Failed
ApplicationName: Microsoft SQL Server Management Studio
ClientProcessID: 4680

在繁忙的生产环境中，捕获此信息的更合适方法是将捕获事件的服务器端跟踪脚本输出到服务器上的.trc文件中，或者使用扩展事件。

Answer 2

首先，我同意@gWaldo，一定要拍点鱼。其次，如果使用失败的登录事件运行跟踪，则可以获得Application Name和Host Name。application name可能是.Net或类似的东西，但可能会排除一些可能性。或者你可能会很幸运，直接得到application name。host name是连接来自的机器的名称。这也会把你可能的应用范围缩小到1，如果两者之间的运气好的话，你就能得到一个合理数量的嫌疑人。