Много неудачного аудита: учетная запись не смогла войти в журнал безопасности

8

Я получил много проверок ошибок на моем сервере. Из журнала я определил конкретную машину, которая является виновником. Как я могу определить, какой процесс отправляет запрос на вход?

У вас есть идеи, как это выяснить?

Ниже приведена деталь журнала.

Журнал безопасности на \ QKSRVDC212:

[2465151] Microsoft-Windows-Security-Auditing

    Type:     FAILURE AUDIT 

    Computer: QKSRVDC212.Corp.abc.com

    Time:     7/26/2012 9:31:00 AM   ID:       4625 

An account failed to log on.
  Subject:
    Security ID:        S-1-0-0
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0
  Logon Type:           3

  Account For Which Logon Failed:
    Security ID:        S-1-0-0
    Account Name:       Quality
    Account Domain:     QDMNT140

  Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

  Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

  Network Information:
    Workstation Name:   QDMNT140
    Source Network Address: 10.1.1.185
    Source Port:        3973

  Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0
windows  windows-server-2008  windows-event-log  eventviewer 
Param
источник

Ответы:

1

В исходной системе входа в систему 'QDMNT140' используйте, netstat -ano | findstr 3973чтобы увидеть, у какого процесса открыт соответствующий исходный порт '3973'. Замените 3973 на то, на что порт меняется, если он не статичен.

Натан V
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.