Насторожили записи в журнале безопасности, после того как он оказался переполнен - в течении дня много сыпалось - отказ в доступе системе.
Анонимному входу разрешен доступ, а системе отказано!

На момент анонимных входов клиент не мог залогиниться - переполнен ЖБ.
Журнал переполнился записями - отказ в доступе системе, за предыдущий день.

В каких случаях такие записи могут появляться? Вирусная активность или это нормально?

Результаты поиска: Анонимный вход (http://forum.oszone.net/search.html?cx=018124589797586243949%3Anz2qphbxnpq&cof=FORID%3A9&ie=windows-1251&q=%C0%ED%EE%ED%E8%EC%ED%FB%E9+%E2%F5%EE%E4&sa=%CF%EE%E8%F1%EA&siteurl=forum.oszone.net%2Findex.php%3F&ref=forum.oszone.net%2Fthread-282497.html&ss=40j1600j2)

такое происходит, если политика аудита включает аудит для успешного использования прав пользователей. раскройте содержимое двух событий на скринах и предоставьте их в тестовом варианте. если в содержимом журнала в пле Имя_Учетной записи ничего подозрительного нет, тот думаю и проблем нет.

так же как и событие входа в систему 538, говорит о том, что процесс выхода пользователя из системы завершен.

то есть ведутся логи безопасности об успешных и неудачных действиях пользователей и служб в том числе. так как такой вход может выполнять и служба тоже. я так понимаю у Вас сервера\сети\домена нет? ведение регистрации таких записей нормальное явление. по своей ситуации скажу. регистрироваться могут от ряда факторов, например доступ к файлам\папкам на щаре, пользователь проходит аутентификацию по логину и паролю на сервере, которые этого требуют. с появлением соответствующей записи в журнале аудита. или же не проходит и попадает в систему как анонимный пользователь при входе в систему, при доступе к объектам не требующих аутентификацию на уровне логина и пароля как в первом примере. и т.д. все зависит от Вашей сети и серверов, настроек аудита и т.д. это один из примеров :)

Наверно я не правильно сформулировал вопрос.

Вопрос: Какая-то падла за день засрала журнал(до этого пол года работало без нареканий), как разобраться из-за чего это происходит?

Пользователь - SYSTEM
Событие - Аудит отказов
Windows XP в домене, политика аудита входов/выхода включена в домене. Ничего не расшарено, права ограничены.
DrWeb, AVZ вирусов не находят.
Как узнать имя процесса? Если это какой-нибудь svchost.exe можно ли узнать контекст события? Как-то можно получить более подробные логи?

Наверно я не правильно сформулировал вопрос
Как опубликовать в форуме сообщение об ошибке из журнала событий (http://forum.oszone.net/showpost.php?p=580138#post580138)