Tôi đã nhận được rất nhiều kiểm toán thất bại trên máy chủ của mình. Từ nhật ký, tôi đã xác định được máy cụ thể là thủ phạm. Làm thế nào tôi có thể xác định quá trình nào đang gửi yêu cầu đăng nhập?
Bạn có bất cứ ý tưởng làm thế nào để tìm hiểu?
Dưới đây là chi tiết của nhật ký.
Nhật ký bảo mật trên \ QKSRVDC212:
[2465151] Microsoft-Windows-Security-Auditing
Type: FAILURE AUDIT
Computer: QKSRVDC212.Corp.abc.com
Time: 7/26/2012 9:31:00 AM ID: 4625
An account failed to log on.
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Quality
Account Domain: QDMNT140
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: QDMNT140
Source Network Address: 10.1.1.185
Source Port: 3973
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0