Moin,

wenn Username und Paßwort automatisch durch die Anwendung an den SQL-Server übermittelt werden – und das geschieht offensichtlich, soweit ich das deinem Connection-String entnehme –, kann es sich bei den betreffenden Log-Einträgen nicht um Benutzer dieser Anwendung handeln. Vielleicht versucht da jemand anders, sich anzumelden, und wählt für seine Versuche genau die Zeit aus, wo sowieso viel los ist. Kann man denn den Logfiles auch entnehmen, von wo diese fehlgeschlagenen Anmeldungsversuche ausgingen? Kommen sie immer vom selben Rechner? Hat da jemand eine Brute-Force-Anwendung am Laufen? Sind die falschen und daher abewiesenen Anmeldedaten immer dieselben?