Recentemente desabilitamos uma conta SQL em um dos nossos servidores de produção a pedido do proprietário do aplicativo, conta aparentemente não mais usada. Desde a desabilitação, vimos falhas de login no log de erros SQL. Veja a imagem abaixo.
A equipe do aplicativo não consegue localizar o processo usando-o e me enviou de volta. Não consigo ver nada em sys.sysprocesses sys.dm_exec_sessions sys.dm_exec_connections
sp_whosisactive também não captura nenhum código em execução. Sinto que é quase um processo de heartbeat do servidor de aplicativo que verifica a cada dois minutos para garantir que o servidor esteja ativo.
Há outras maneiras de capturar a atividade, o profiler não é uma opção rápida e suja, pois este servidor é muito temperamental. Estamos investigando os logs do lado do aplicativo também.
Como a conta (login) foi desativada, você não verá nada desse login naturalmente
sys.sysprocessessys.dm_exec_sessionssys.dm_exec_connections, nem no sp_whoisactive.Você tem evidências em mãos - registros no log de erros que indicam o IP do cliente do servidor a partir do qual as tentativas de conexão (falhas de login) estão sendo feitas.
Tente executar a consulta abaixo no seu servidor de banco de dados, ela mostra logins malsucedidos com detalhes. Pode ajudar a descobrir um ClientProcessID do processo no seu servidor de aplicativo (10.xxx), que pode apontar para o aplicativo/site que está fazendo tentativas de login:
Mais informações sobre logins com falha aqui: https://eitanblumin.com/2020/03/09/finding-details-missing-sql-server-failed-logins-audit/
Você também pode escanear todos os arquivos (configurações, código) no seu servidor de aplicativos (10.xxx) usando ferramentas como GrepWin para descobrir quais arquivos contêm string de conexão com conta desabilitada.