Добрый день, подскажите куда копать, в журнале Аудит отказа копятся ошибки с разной периодичностью, не могу уловить закономерность. Ошибки вида:
Код:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: S4$
Домен учетной записи: PRIOSKOL
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xC000006D
Подсостояние: 0x0
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: S4
Сетевой адрес источника: 127.0.0.1
Порт источника: 62000
Сведения о проверке подлинности:
Процесс входа:
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
S4 это имя самого компьютера, как будто он не может войти в свою же систему... Ошибки возникают очень часто могут через минуту, могут через 3-5 но не больше 10минут между записями. Пробовал отловить процесс по портам которые указываются в логах (ОНИ КСТАТИ ПОСТОЯННО РАЗНЫЕ, номер порта возрастает) с помощью команды netstat -ano, но ничег интересного там нет, эти порты в состоянии TIME_WAIT и принадлежат процессу с PID 0