В данной небольшой заметке я обращу внимание на один из основных штатных инструментов по анализу и диагноcтике в MS SQL Server.

Вместо предисловия

По умолчанию выявить детальную информацию, например, по авторизациям подключений к MSSQLSERVER, невозможно. Записи в системных журналах ограничены информацией об иточнике подключения, учетных данных, времени и на этом всё заканчивается.
Детальный сбор и анализ информации возможен только при созданной и рабочей  Extended session. Данный инструмент имеет большие возможности и не только в области анализа авторизации на MS SqlServer.

Создание Extended Session

Для создания сессии из SSMS нужно перейти в Management ->Extended Events -> Sessions -> New Sessions.
Интрумент расширенных сессий дотаточно мощный и его возможнотями и использованием не нужно пренебрегать.

Пример использования

В качестве примера использования приведу случай обращения заказчика с вопросом: чем вызвано большое количество одинаковых записей в логе про подключение к SqlServer?

Для ответа на поставленный заказчиком вопрос была создана Extended session включающая login & login_events.

После запуска созданной Extended session оставалось подождать следующего возникновения обьектов наблюдения.
Ожидаемый результат успокоил заказчика:

•     SQLAgent Job Manager - 6 событий авторизации ежемитутно
•     SQLAgent  - TSQL Job Step - 3 события в минуту  (три различные задачи)
•     SQLAgent - Update Job History - 3 события в минуту