如果你有日志管理软件,那么要看的另一个非常好的地点是操作系统的应用程序时间日志。你可以通过使用计算机管理工具来查看它。如果你打开系统工具,然后再打开事件查看器,那么你会看到应用程序事件日志如下:
图四
如果你观察这个事件日志,那么你会看到带有MSSQLSERVER或者MSSQL$源的事件。例如,下面显示了我们之前在SQL Server日志中看到的审计成功和失败事件:
图五
SQL Server 2005和2008的成功登录将有一个事件ID为18454,失败登录将有一个事件ID为18456。SQL Server 2000对两种登录使用了相同的事件ID,这样一来就不可能在不堪时间详细信息的情况下确定该事件是成功还是失败。结果,我建议大家只审计失败的登录来消除这种混乱。一旦你确定了正确的事件,你就可以看看事件日志详细信息找出要尝试的是哪种登录。例如,这是一个失败登录的尝试:
图六
下面是成功的登录尝试:
图七
关于哪个帐户进行了尝试的信息存储在事件日志的描述中。因此,如果你想自动执行审计成功或失败的检索过程,那么你要去确保这个应用程序可以检索这些详细信息并且对文本进行相应解析。
