фильтр контента по hex

попробуйте с L7 /ip firewall layer7-protocol add comment="" name=LoginFailed regexp="\x4C\x00\x6F\x00\x67\x00\x69\x00\x6E\x00\x20\x00\x66­\x00\x61\x00\x69\x00\x6C\x00\x65\x00\x64"

Не знаю, попробуй разные варианты:  
add /ip firewall layer7-protocol add comment=“track sql login failures” name=sqlloginfailed regexp=“\x4C\0\x6F\0\x67\0\x69\0\x6E\0\x20\0\x66\0\x61\0\x69­\0\x6C\0\x65\0\x64”  
или  
add /ip firewall layer7-protocol add comment=“track sql login failures” name=sqlloginfailed regexp=“\x4C\u0000\x6F\u0000\x67\u0000\x69\u0000\x6E\u0000\x­20\u0000\x66\u0000\x61\u0000\x69\u0000\x6C\u0000\x65\u0000\x­64”  
или  
add /ip firewall layer7-protocol add comment=“track sql login failures” name=sqlloginfailed regexp=“\x4C[^.]\x6F[^.]\x67[^.]\x69[^.]\x6E[^.]\x20[^.]\x66[^.]\x61[^.]\x69[^.]\x6C[^.]\x65[^.]\x64”
или  
add /ip firewall layer7-protocol add comment=“track sql login failures” name=sqlloginfailed regexp=“\x4C.\x6F.\x67.\x69.\x6E.\x20.\x66.\x61.\x69.\x6C.\x65.\x64”

Пока не удаётся заставить правило фильтра записывать какие-либо результаты с указанными выше настройками. У кого-нибудь есть идеи?

ах, вот оно что… пакет номер 13… и ещё 4,7k

Да, это правильно. Как только происходит недопустимая авторизация, соединение с SQL закрывается. Что касается пакетов 14/16, не совсем понимаю, что вы имеете в виду. К сожалению, «разрешённые» IP-адреса неизвестны — несколько WAN-адресов от разных компаний.