我最近接管了Windows 2003服务器的管理。应用程序日志正在填充以下消息:
Event Type: Failure Audit
Event Source: MSSQLSERVER
Event Category: (4)
Event ID: 18456
Date: 3/5/2010
Time: 4:00:30 PM
User: N/A
Computer: FAIROAKS1
Description:
Login failed for user 'administrator'. [CLIENT: <local machine>]
Data:
0000: 18 48 00 00 0e 00 00 00 .H......
0008: 0a 00 00 00 46 00 41 00 ....F.A.
0010: 49 00 52 00 4f 00 41 00 I.R.O.A.
0018: 4b 00 53 00 31 00 00 00 K.S.1...
0020: 07 00 00 00 6d 00 61 00 ....m.a.
0028: 73 00 74 00 65 00 72 00 s.t.e.r.
0030: 00 00 ..
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
我想弄清楚导致这些问题的程序。有没有办法跟踪并找出导致这些错误的进程?
答案 0 :(得分:5)
这是由某些帐户无法登录到该服务器上安装的SQL Server实例引起的。
上面的消息表示有一个名为“administrator”的SQL登录名(不是Windows Auth)未在sys.server_principals中设置,或者使用的密码不正确。
现在,如果您运行SQL事件探查器,那么您应该能够捕获连接尝试,包括HostName和Application名称。 Audit Login Failed Event Class是一个很好的起点。
潜在地,这是一个严重的问题:它可能是一次攻击,一次失败的监视器尝试。但是你可以关闭你的SQL Server实例并且没有人注意到......: - )