[LehaMechanic]

Результаты поиска: Анонимный вход

[diagnoz_]

такое происходит, если политика аудита включает аудит для успешного использования прав пользователей. раскройте содержимое двух событий на скринах и предоставьте их в тестовом варианте. если в содержимом журнала в пле Имя_Учетной записи ничего подозрительного нет, тот думаю и проблем нет.

так же как и событие входа в систему 538, говорит о том, что процесс выхода пользователя из системы завершен.

[diagnoz_]

то есть ведутся логи безопасности об успешных и неудачных действиях пользователей и служб в том числе. так как такой вход может выполнять и служба тоже. я так понимаю у Вас сервера\сети\домена нет? ведение регистрации таких записей нормальное явление. по своей ситуации скажу. регистрироваться могут от ряда факторов, например доступ к файлам\папкам на щаре, пользователь проходит аутентификацию по логину и паролю на сервере, которые этого требуют. с появлением соответствующей записи в журнале аудита. или же не проходит и попадает в систему как анонимный пользователь при входе в систему, при доступе к объектам не требующих аутентификацию на уровне логина и пароля как в первом примере. и т.д. все зависит от Вашей сети и серверов, настроек аудита и т.д. это один из примеров

[mitay2]

Наверно я не правильно сформулировал вопрос.

Вопрос: Какая-то падла за день засрала журнал(до этого пол года работало без нареканий), как разобраться из-за чего это происходит?

Пользователь - SYSTEM
Событие - Аудит отказов
Windows XP в домене, политика аудита входов/выхода включена в домене. Ничего не расшарено, права ограничены.
DrWeb, AVZ вирусов не находят.
Как узнать имя процесса? Если это какой-нибудь svchost.exe можно ли узнать контекст события? Как-то можно получить более подробные логи?

[Petya V4sechkin]

Цитата mitay2:

Наверно я не правильно сформулировал вопрос

Как опубликовать в форуме сообщение об ошибке из журнала событий