Como saber qual aplicativo ou usuário colocou o Banco de Dados SQL Server no modo de usuário único

O spid é registrado no log de erros do SQL Server, mas não o usuário/aplicativo/host. E, como Grant mencionou, nada é registrado na system_healthsessão interna (ou no rastreamento padrão, se você ainda tiver ativado ).

EXEC sys.sp_readerrorlog 0, 1, 'single_user';

Resultados:

LogDate                   ProcessInfo   Text
-----------------------   -----------   ------------------------------------
2021-09-15 08:54:02.227   spid60        Setting database option SINGLE_USER 
                                        to ON for database 'blat'.

Para obter essas informações no futuro, você pode configurar uma sessão de eventos estendidos, por exemplo

CREATE EVENT SESSION [CatchAlterDatabase] ON SERVER 
ADD EVENT sqlserver.object_altered
(
  ACTION
  (
    sqlserver.client_app_name, sqlserver.client_hostname, 
    sqlserver.server_principal_name, sqlserver.sql_text
  ) WHERE ([object_type] = 'DATABASE')
)
ADD TARGET package0.event_file
(
  SET filename = N'CatchAlterDB.xel', 
    max_file_size=(25), max_rollover_files=(10)
)
WITH 
(
  MAX_MEMORY=4096 KB, EVENT_RETENTION_MODE=ALLOW_SINGLE_EVENT_LOSS,
  MAX_DISPATCH_LATENCY=30 SECONDS, MAX_EVENT_SIZE=0 KB, 
  TRACK_CAUSALITY=OFF,STARTUP_STATE=ON
);
GO

ALTER EVENT SESSION CatchAlterDatabase ON SERVER STATE = START;

Ao clicar com o botão direito do mouse na sessão em Gerenciamento > Eventos estendidos > Sessões e escolher Assistir a dados ao vivo (ou ir para o arquivo de evento e escolher Visualizar dados de destino...), você pode ver eventos como este (observe que o banco de dados de destino está realmente listado em object_name; database_nameé o banco de dados de contexto ):

Mas você também obterá todos os outros eventos de alteração do banco de dados. Vou deixar como exercício para o leitor puxar os dados programaticamente (e filtrar) usando sys.fn_xe_file_target_read_file(docs aqui) . Grant Fritchey tem uma consulta inicial aqui .

Existem outras opções também, como SQL Server Audit / DATABASE_OBJECT_CHANGE_GROUP.

As versões modernas do SQL Server permitirão que você crie uma Auditoria de Segurança do Servidor . Eles são um pouco como os eventos estendidos, mas mais enxutos.

Um script básico para configurar as auditorias do SQL Server Security pode ser assim:

Criar auditoria de segurança do servidor

USE [master]
GO


/****** Object:  Audit [ServerSecurityAudit2021]    Script Date: 03.03.2021 12:39:07 ******/
CREATE SERVER AUDIT [ServerSecurityAudit2021]
TO FILE 
(   FILEPATH = N'E:\MSSQL13.INSTANCENAME\MSSQL\Log\'
    ,MAXSIZE = 256 MB
    ,MAX_FILES = 10
    ,RESERVE_DISK_SPACE = OFF
)
WITH
(   QUEUE_DELAY = 1000
    ,ON_FAILURE = CONTINUE
)

Especificar detalhes da auditoria de segurança

USE [master]
GO

CREATE SERVER AUDIT SPECIFICATION [ServerSecurityAuditSpecs2021]
FOR SERVER AUDIT [ServerSecurityAudit2021]
ADD (DATABASE_CHANGE_GROUP),
ADD (FAILED_LOGIN_GROUP)
-- , ADD (USER_CHANGE_PASSWORD_GROUP)
-- , ADD (SERVER_PERMISSION_CHANGE_GROUP)
-- , ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP)
-- , ADD (LOGIN_CHANGE_PASSWORD_GROUP)
WITH (STATE = ON)
GO

Comentei alguns dos Grupos e Ações de Ação de Auditoria do SQL Server. Uma lista dos quais pode ser encontrada em Grupos e ações de ações de auditoria do SQL Server (Microsoft | SQL Docs)

Ativar auditoria de segurança

ALTER SERVER AUDIT [ServerSecurityAudit2021] WITH (STATE = ON)
GO

^{Referência: CREATE SERVER AUDIT (Transact-SQL) (Microsoft | SQL Docs)}

Usando SSMS

Você pode fazer o mesmo com o SSMS seguindo as etapas descritas em Criar uma auditoria de servidor e especificação de auditoria de banco de dados (Microsoft | SQL Docs).

Visualizando a Auditoria do Servidor

No SSMS de sua instância, navegue até Segurança | Auditorias | Your_Audit_Name e clique com o botão direito do mouse na auditoria e selecione View Audit Logs .

Você pode então selecionar o ID de ação ALTER e ele exibirá os detalhes do que aconteceu.

Detalhes redigidos para proteger os inocentes

Você não pode saber depois do fato. Eu verifiquei e system_health não captura essas informações. No entanto, você pode configurar eventos estendidos para capturar exatamente isso no futuro. Eu tenho exemplos de mudanças de banco de dados de auditoria aqui . Não mostro a configuração para SINGLE_USER, mas o exemplo em que altero o nível de compatibilidade seria absolutamente aplicável.