Esta manhã, notei que nossa conta do servidor sa sql estava bloqueada e, de alguma forma, desbloqueada.
27/09/2019 05:28:26 - Falha no login do usuário 'sa'. Motivo: A senha não corresponde à do login fornecido. [CLIENTE: máquina local]
...
27/09/2019 05:28:47 - O login falhou para o usuário 'sa' porque a conta está bloqueada no momento. O administrador do sistema pode desbloqueá-lo. [CLIENTE: xx]
...
Substituí o IP do cliente por xx para postar aqui. Então, às 5h45 EST, a conta foi desbloqueada de alguma forma e os erros pararam.
Também recebemos algumas dessas mensagens durante o período em que a conta foi bloqueada
O cliente não pôde reutilizar uma sessão com SPID 413, que foi redefinida para pool de conexões. O ID de falha é 1. Esse erro pode ter sido causado por uma falha de operação anterior. Verifique os logs de erro para operações com falha imediatamente antes dessa mensagem de erro.
As configurações de permissão específicas do aplicativo não concedem permissão de ativação local para o aplicativo do servidor COM com CLSID {FDC3723D-1588-4BA3-92D4-42C430735D7D} e APPID {83B33982-693D-4824-B42E-7196AE61BB05} para o usuário Domain\user SID (S-1-5-21-1482476501-1715567821-725345543-24374) do endereço LocalHost (usando LRPC) em execução no contêiner do aplicativo SID indisponível (indisponível). Essa permissão de segurança pode ser modificada usando a ferramenta administrativa Component Services.
Parece que alguém estava no servidor e tentando fazer login como SA. Verificamos internamente e todos dizem que não, temos um consultor no momento que tem seu próprio sql server id, perguntamos a ele e ele diz que não estava tentando fazer login como SA durante o período de tempo. Parece que ele estava logado no momento em que isso aconteceu porque seu nome de usuário é o que é mostrado na mensagem do log de eventos sobre 'permissão específica do aplicativo'. O consultor não possui as credenciais SA.
Existe alguma maneira que eu possa verificar quem estava tentando fazer login como SA e como a conta acabou sendo desbloqueada? Existe alguma auditoria que eu possa configurar para o futuro caso isso aconteça novamente? Esta é a primeira vez que vimos isso.
Obrigado Ross e James pela entrada nos comentários. Descobri que nossa conta sa tem a política de senha aplicada ativada e nossa política de segurança local desbloqueará uma conta após 15 minutos, para que responda como ela foi desbloqueada. Em relação ao futuro, acho que a auditoria do servidor da classe de evento com falha de login nos ajudará a obter mais informações se isso acontecer novamente. Internamente, temos o objetivo de deixar de usar sa e renomeá-lo/desativá-lo.