你提到用sp_who2只能实时查看Excel访问数据库的情况，要实现长期记录登录用户、主机名、执行查询，甚至间接关联到对应的Excel文件，SQL Server 2008提供了两种靠谱的方案，下面详细拆解每个方法的操作步骤：

方案1：使用扩展事件（推荐，性能更优） #

SQL Server 2008开始引入的扩展事件，比传统SQL Trace资源占用低很多，适合长期运行。我们可以创建一个专属会话，精准捕获Excel相关的登录和查询行为：

1. 创建扩展事件会话
   打开SQL Server Management Studio（SSMS），连接到你的2008实例，展开「管理」>「扩展事件」>「会话」，右键选择「新建会话」：

   • 会话名称：比如TrackExcelDatabaseAccess
   • 在「事件」选项卡，添加以下核心事件：
     • sqlserver.login：捕获登录事件，记录谁发起了连接
     • sqlserver.batch_completed：捕获Excel执行的SQL批处理（大部分Excel查询都是这类）
     • sqlserver.rpc_completed：如果Excel调用了存储过程，需要添加这个事件
   • 在「谓词」选项卡，设置筛选条件只保留Excel相关连接：
     • 字段选sqlserver.client_app_name，操作符选LIKE，值填'%Microsoft Office Excel%'或'%Microsoft Excel%'（不同Excel版本可能略有差异）
   • 在「数据存储」选项卡，选择将事件保存到文件，设置存储路径和单文件大小限制（比如每个文件100MB），避免磁盘被占满。如果想直接存到表，也可以选择对应目标，但文件存储更稳定。

2. 启动会话并查询捕获的数据
   创建完成后启动会话，运行一段时间后，用以下脚本查询事件记录：

   SELECT 
       event_data.value('(event/@name)[1]', 'varchar(50)') AS 事件类型,
       event_data.value('(event/@timestamp)[1]', 'datetime2') AS 事件时间,
       event_data.value('(event/action[@name="session_id"]/value)[1]', 'int') AS 会话ID,
       event_data.value('(event/action[@name="client_app_name"]/value)[1]', 'varchar(100)') AS 客户端应用,
       event_data.value('(event/action[@name="client_hostname"]/value)[1]', 'varchar(100)') AS 主机名,
       event_data.value('(event/action[@name="server_principal_name"]/value)[1]', 'varchar(100)') AS 登录用户名,
       -- 提取执行的查询语句
       CASE WHEN event_data.value('(event/@name)[1]', 'varchar(50)') IN ('batch_completed', 'rpc_completed')
            THEN event_data.value('(event/data[@name="batch_text"]/value)[1]', 'nvarchar(max)')
            ELSE NULL END AS 执行的查询
   FROM 
       (SELECT CAST(event_data AS XML) AS event_data
        FROM sys.fn_xe_file_target_read_file('C:\YourSavePath\TrackExcelDatabaseAccess_*.xel', NULL, NULL, NULL)) AS x
   ORDER BY 
       事件时间 DESC;
   

   记得把C:\YourSavePath\替换成你设置的文件存储路径。

方案2：使用SQL Server跟踪（传统方法） #

如果对扩展事件不太熟悉，SQL Server 2008仍然支持SQL Trace（后续版本被弃用，但2008可以安全使用）：

1. 创建跟踪
   在SSMS中，展开「管理」>「SQL Server Profiler」，打开后连接到实例：

   • 在「跟踪属性」窗口，选择模板为「TSQL_Duration」，然后自定义事件：
     • 勾选「安全审核」下的Audit Login事件
     • 勾选「TSQL」下的SQL:BatchCompleted和RPC:Completed事件
   • 点击「列筛选器」，选择ApplicationName，在「Like」里输入%Excel%，只捕获Excel的连接请求
   • 设置跟踪文件的存储路径和滚动规则（比如每个文件100MB，最多保留5个文件），防止磁盘溢出

2. 分析跟踪数据
   运行跟踪一段时间后，可以直接在Profiler里查看，或者将跟踪文件导入到表中做深度分析：

   -- 将跟踪文件导入到表中
   SELECT * INTO ExcelAccessLog
   FROM fn_trace_gettable('C:\YourTracePath\ExcelTrace.trc', DEFAULT);
   
   -- 查询分析结果
   SELECT 
       LoginName AS 登录用户名,
       HostName AS 主机名,
       ApplicationName AS 客户端应用,
       StartTime AS 访问时间,
       TextData AS 执行的查询
   FROM ExcelAccessLog
   WHERE ApplicationName LIKE '%Excel%'
   ORDER BY StartTime DESC;
   

额外提示：关联到具体的Excel文件 #

遗憾的是，Excel默认不会把文件名传递给SQL Server，但你可以通过以下方式间接推断：

• 结合登录名+主机名+查询的表/数据内容：比如某个用户在特定时间查询了Sales_2024表，你可以直接询问该用户对应的Excel文件
• 如果用户使用Excel的「数据连接向导」，可以让他们在连接字符串中添加自定义属性（比如Application Name=月度销售报表.xlsx），这样你就能在client_app_name字段中捕获到文件名

注意事项 #

• 长期运行跟踪/扩展事件时，一定要设置合理的存储限制，避免磁盘被占满
• 扩展事件的性能开销远低于SQL Trace，优先选择扩展事件方案
• 确保SQL Server服务账号有足够的权限写入跟踪文件/扩展事件文件路径

内容的提问来源于stack exchange，提问作者A Johnston