Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Login failed for user 'xxxx'.  [new]
Timur Sokolov
Guest
Господа,

как можно отследить источник сообщения Login failed for user 'xxxx' в общем случае и стандартными средствами? Срабатывает алерт, есть идеи, предположения, но нет точной информации откуда приходят эти сообщения. Из алерта можно получить только имя базы в которую была предпринята попытка неудачного логина. У кого есть идеи?
10 фев 03, 10:42    [125300]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
Pavel
Member

Откуда: Кемерово
Сообщений: 2435
Profiler -> Security audit
10 фев 03, 11:13    [125329]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
Timur Sokolov
Guest
Извините, это где? У меня SQL 7.0 Никогда там не встречал такого.
10 фев 03, 15:36    [125660]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
GK
Guest
У меня похожая проблема
Login failed for user 'Admin'

Причем пользователя Admin ни в домене ни на SQL нет.
Хочется отловить компьютер с которого такие попытки логина идут и, если это пользователи развлекаются, надавать по рукам. А может это и вирус какой...

В логах действительно информации об осточнике подключения нет.
Пока дошел до того, что создал на SQL Server логин 'Admin' без пароля, но с весьма ограниченными правами (эдакая приманка :) ), а профайлером запустил трейс с полем HostName и фильтром на LoginName.
Сижу курю...
... а вдруг не догадаются залогиниться без пароля?...

Короче, присоединяюсь к Тимуру. Как отследить источник?
(Win 2K AS (sp3) + SQL 2K EE (sp3))
10 фев 03, 15:51    [125674]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
Pavel хотел сказать, что при настройки трэйса профайлера надо добавить события (Events) из группы Security audit. Там есть событие Audit login failed.

Сам на прошлой неделе отлавливал у себя некоторых...
10 фев 03, 15:51    [125677]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
GK
Guest
2 pkarklin, Pavel:
А как профайлером определить откуда подключение?
Он ведь для события Audit Login Failed
не фиксирует HostName.
(только что испытал)
10 фев 03, 16:04    [125696]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
Но NTUserName оно то фиксируте. А дальше с помощью утилит администрирования операционки глянь, откуда цепляется юзер.
10 фев 03, 16:13    [125704]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
GK
Member

Откуда: Москва
Сообщений: 36
В моем случае аутентификация не виндовая, и NTUserName (как и NTDomainName) не профайлером фиксируются :(
Более того, они не фиксируются для 'Audit Login' и для 'Audit Logout'
(только что проверил)
10 фев 03, 16:20    [125711]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
Точно, у меня виндовая аутинфикация. Ладно, будем думать дальше...
10 фев 03, 16:22    [125719]     Ответить | Цитировать Сообщить модератору
 Re: Login failed for user 'xxxx'.  [new]
Timur Sokolov
Guest
В семерке я не нашел перечисленных событий. Удалось отловить события Login Failed и EventLog. Там показывается имя приложения (понятно, что показывается только для честных приложений, у меня был QA), и в случае NT авторизации - имя пользователя (ну так я его и так знаю, это тмя в сообщении фигурирует). Поля Хост там нет. Есть connection id 649103 и большой такой (даже не знаю что это) 0х[несколько десятков цифр]. Может его можно как-то расшифровать?
10 фев 03, 16:57    [125750]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить