Непонятный логин - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2016/2019/2022 (http://forum.oszone.net/forumdisplay.php?f=119)

- - Непонятный логин (http://forum.oszone.net/showthread.php?t=342412)

Непонятный логин

Добрый день.

Не пойму что за события фэйлов в журнале.
Имя компа незнакомое, логин тоже, IP нету.
Что это за события может быть?

xml

Код:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

 <System>

  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 

  <EventID>4625</EventID> 

  <Version>0</Version> 

  <Level>0</Level> 

  <Task>12544</Task> 

  <Opcode>0</Opcode> 

  <Keywords>0x8010000000000000</Keywords> 

  <TimeCreated SystemTime="2019-09-30T18:49:14.468921100Z" /> 

  <EventRecordID>3985229</EventRecordID> 

  <Correlation ActivityID="{93CDF474-73B9-0006-78F4-CD93B973D501}" /> 

  <Execution ProcessID="744" ThreadID="6088" /> 

  <Channel>Security</Channel> 

  <Computer>termsrv</Computer> 

  <Security /> 

 </System>

 <EventData>

  <Data Name="SubjectUserSid">S-1-0-0</Data> 

  <Data Name="SubjectUserName">-</Data> 

  <Data Name="SubjectDomainName">-</Data> 

  <Data Name="SubjectLogonId">0x0</Data> 

  <Data Name="TargetUserSid">S-1-0-0</Data> 

  <Data Name="TargetUserName">kraud01</Data> 

  <Data Name="TargetDomainName">ORG</Data> 

  <Data Name="Status">0x80090308</Data> 

  <Data Name="FailureReason">%%2304</Data> 

  <Data Name="SubStatus">0x0</Data> 

  <Data Name="LogonType">3</Data> 

  <Data Name="LogonProcessName" /> 

  <Data Name="AuthenticationPackageName">NTLM</Data> 

  <Data Name="WorkstationName">TERM1</Data> 

  <Data Name="TransmittedServices">-</Data> 

  <Data Name="LmPackageName">-</Data> 

  <Data Name="KeyLength">0</Data> 

  <Data Name="ProcessId">0x0</Data> 

  <Data Name="ProcessName">-</Data> 

  <Data Name="IpAddress">-</Data> 

  <Data Name="IpPort">-</Data> 

 </EventData>

</Event>

<Data Name="SubjectUserSid">S-1-0-0</Data>

SID: S-1-0-0
Название: Никто
Описание: Нет участника безопасности.

<Data Name="LogonType">3</Data>

Тип входа 3: Сетевой. Пользователь по сети подключился к этому компьютеру и авторизовался на нем.

Обычно такое событие появляется при подключении по сети к разделяемым (shared) ресурсам - папкам, файлам, принтерам. Подключение с типом входа = 3 может быть установлено и с локального компьютера.

Обычно? а как узнать точнее? хотя бы поснифать.

Цитата:

Цитата Dis74

а как узнать точнее? »

смотрите журнал безопасности, записи до и после этого события
если не поможет, включите расширенное логирование