Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   непонятные входы в журнале безопасности (http://forum.oszone.net/showthread.php?t=282497)

mitay2 21-05-2014 05:43 2353837
непонятные входы в журнале безопасности
 
Насторожили записи в журнале безопасности, после того как он оказался переполнен - в течении дня много сыпалось - отказ в доступе системе.
Анонимному входу разрешен доступ, а системе отказано!

На момент анонимных входов клиент не мог залогиниться - переполнен ЖБ.
Журнал переполнился записями - отказ в доступе системе, за предыдущий день.

В каких случаях такие записи могут появляться? Вирусная активность или это нормально?

LehaMechanic 21-05-2014 09:38 2353876
Результаты поиска: Анонимный вход

diagnoz_ 21-05-2014 10:58 2353905
такое происходит, если политика аудита включает аудит для успешного использования прав пользователей. раскройте содержимое двух событий на скринах и предоставьте их в тестовом варианте. если в содержимом журнала в пле Имя_Учетной записи ничего подозрительного нет, тот думаю и проблем нет.

так же как и событие входа в систему 538, говорит о том, что процесс выхода пользователя из системы завершен.

diagnoz_ 21-05-2014 11:15 2353918
то есть ведутся логи безопасности об успешных и неудачных действиях пользователей и служб в том числе. так как такой вход может выполнять и служба тоже. я так понимаю у Вас сервера\сети\домена нет? ведение регистрации таких записей нормальное явление. по своей ситуации скажу. регистрироваться могут от ряда факторов, например доступ к файлам\папкам на щаре, пользователь проходит аутентификацию по логину и паролю на сервере, которые этого требуют. с появлением соответствующей записи в журнале аудита. или же не проходит и попадает в систему как анонимный пользователь при входе в систему, при доступе к объектам не требующих аутентификацию на уровне логина и пароля как в первом примере. и т.д. все зависит от Вашей сети и серверов, настроек аудита и т.д. это один из примеров :)

mitay2 22-05-2014 06:05 2354211
Наверно я не правильно сформулировал вопрос.

Вопрос: Какая-то падла за день засрала журнал(до этого пол года работало без нареканий), как разобраться из-за чего это происходит?

Пользователь - SYSTEM
Событие - Аудит отказов
Windows XP в домене, политика аудита входов/выхода включена в домене. Ничего не расшарено, права ограничены.
DrWeb, AVZ вирусов не находят.
Как узнать имя процесса? Если это какой-нибудь svchost.exe можно ли узнать контекст события? Как-то можно получить более подробные логи?

Petya V4sechkin 22-05-2014 07:13 2354215
Цитата:
Цитата mitay2
Наверно я не правильно сформулировал вопрос
Как опубликовать в форуме сообщение об ошибке из журнала событий


Время: 09:27.

Время: 09:27.
© OSzone.net 2001-