Windows Server 2003, VMWare VirtualCenter 2.5.
Что-то постоянно пытается войти в VirtualCenter, используя отключенную учетную запись домена; неудачные попытки входа регистрируются VirtualCenter в его собственных журналах, а Windows - в журнале событий безопасности. Это происходит примерно раз в две минуты. Источник попыток входа - 127.0.0.1, поэтому это должен быть какой-то процесс, запущенный на самом сервере.
Нет служб, работающих под этой учетной записью пользователя, и нет запланированных заданий в системе. Диспетчер задач также не показывает никаких процессов, запущенных под этой учетной записью.
Имя учетной записи пользователя отсутствует в реестре.
Но какой-то процесс пытается его использовать и терпит неудачу. Вероятно, это не какой-то критический процесс, поскольку все вроде работает нормально, кроме этих записей в журнале; Это мог просто быть чем-то, что было давно установлено и там забыто.
Как бы то ни было, он, вероятно, работает под другой учетной записью пользователя (возможно, системной), но активно пытается войти в VC, используя эти учетные данные, которые, вероятно, сохранены в каком-то файле конфигурации, поскольку они не хранятся в реестре. .
Как я могу отследить, какой процесс пытается (и терпит неудачу) эти попытки входа в систему, с помощью аудита Windows или VirtualCenter?
Я бы попробовал использовать Прокмон и фильтрация по идентификатору пользователя. Это должно вызвать все, что время от времени работает от имени этого пользователя.
Это был старый агент программы мониторинга (больше не используемый).
Как я это нашел:
Журнал программы подтвердил, что вход в систему происходил постоянно.
Успешно удален (больше не использовался), проблема решена :-)