我怎样才能找到试图使用 SA 的东西？

要跟踪登录失败的原因，SQL Server Profiler 将是一个不错的选择。还可以使用扩展事件跟踪来捕获登录失败事件和失败背后的原因。

您需要先启动 SQL Server Profiler。创建一个新模板，或者您可以使用现有模板（如果已有）。创建跟踪时请包括以下内容

1.Audit Login Failed (under Security Audit)
2.User Error Messages (under Errors & Warnings)
3. Errorlog (under Errors & Warnings)

然后清除“显示所有事件”复选框并选择以下列

TextData
SPID
ClientProcessID
Hostname
LoginName
NTUserName
NTDomainName
ApplicationName
DatabaseName
Error

更多细节可以从这个链接和这个链接

要了解有关 SQL Server 事件探查器的更多信息，请参阅此Microsoft 在线文档

在 2008 / 2008 R2 中，您可以设置以下会话：

CREATE EVENT SESSION FailedLogins
ON SERVER
 ADD EVENT sqlserver.error_reported
 (
   ACTION 
   (
     sqlserver.client_app_name,
     sqlserver.client_hostname,
     sqlserver.nt_username
    )
    WHERE severity = 14
      AND state > 1 -- removes redundant state 1 event
  )
  ADD TARGET package0.asynchronous_file_target
  (
    SET FILENAME = N'C:\temp\FailedLogins.xel',
    METADATAFILE = N'C:\temp\FailedLogins.xem'
  );
GO

ALTER EVENT SESSION FailedLogins ON SERVER
  STATE = START;
GO

然后您可以使用以下查询定期轮询会话数据：

;WITH event_data AS 
(
  SELECT data = CONVERT(XML, event_data)
    FROM sys.fn_xe_file_target_read_file(
   'C:\temp\FailedLogins*.xel', 
   'C:\temp\FailedLogins*.xem', 
   NULL, NULL
 )
),
tabular AS
(
  SELECT 
    [host] = data.value('(event/action[@name="client_hostname"]/value)[1]','nvarchar(4000)'),
    [app] = data.value('(event/action[@name="client_app_name"]/value)[1]','nvarchar(4000)'),
    [date/time] = data.value('(event/@timestamp)[1]','datetime2'),
    [error] = data.value('(event/data[@name="error_number"]/value)[1]','int'),
    [state] = data.value('(event/data[@name="state"]/value)[1]','tinyint'),
    [message] = data.value('(event/data[@name="message"]/value)[1]','nvarchar(250)')
  FROM event_data
)
SELECT [host],[app],[state],[message],[date/time]
  FROM tabular
  WHERE error = 18456 
  ORDER BY [date/time] DESC;

您可能必须在此处过滤掉一些误报（可能还有其他不是登录失败的 14 级严重错误）。

[无耻地从我的这篇文章中盗用。]