|
|
Непонятный логин
Добрый день.
Не пойму что за события фэйлов в журнале.
Имя компа незнакомое, логин тоже, IP нету.
Что это за события может быть?
xml
Код:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2019-09-30T18:49:14.468921100Z" />
<EventRecordID>3985229</EventRecordID>
<Correlation ActivityID="{93CDF474-73B9-0006-78F4-CD93B973D501}" />
<Execution ProcessID="744" ThreadID="6088" />
<Channel>Security</Channel>
<Computer>termsrv</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">kraud01</Data>
<Data Name="TargetDomainName">ORG</Data>
<Data Name="Status">0x80090308</Data>
<Data Name="FailureReason">%%2304</Data>
<Data Name="SubStatus">0x0</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName" />
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">TERM1</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
|
<Data Name="SubjectUserSid">S-1-0-0</Data>
SID: S-1-0-0
Название: Никто
Описание: Нет участника безопасности.
<Data Name="LogonType">3</Data>
Тип входа 3: Сетевой. Пользователь по сети подключился к этому компьютеру и авторизовался на нем.
Обычно такое событие появляется при подключении по сети к разделяемым (shared) ресурсам - папкам, файлам, принтерам. Подключение с типом входа = 3 может быть установлено и с локального компьютера.
|
Обычно? а как узнать точнее? хотя бы поснифать.
|
смотрите журнал безопасности, записи до и после этого события
если не поможет, включите расширенное логирование
|
Время: 22:38.
© OSzone.net 2001-