Один из моих контроллеров домена - это аномально большое количество событий аудита Windows. Общую черту, которую мне удалось определить, заключается в том, что 90% этих журналов имеют общий SID. В одном наборе может быть сгенерировано несколько тысяч.
Указанный SID пользователя - SYSTEM. Когда это происходит на DC1, DC2 упоминается как пользователь события и наоборот. Эти наборы происходят ровно с 5-минутным шагом. Я уже проверил запланированные задачи журналов событий Windows, даже проверки, которые я выполнял из Nagios. Ничего не указывало на источник такого поведения.
Мне удалось перенести это поведение с одного контроллера домена на другой путем перезагрузки.
Как я могу точно отследить, что работает с этим SID, чтобы определить причину такого поведения?
РЕДАКТИРОВАТЬ:
Я пробовал запустить dcdiag и repadmin, чтобы увидеть, связано ли это напрямую с ролями DC на этих устройствах. Об ошибках не сообщается. Поиск GUID и идентификатора вызова в журнале событий Windows не помогает.
GUID будет соответствовать тому же, то есть SYSTEM. Видеть Эта статья.
Запись журнала событий должна содержать ProcessName и ProcessId, которые сообщают вам, откуда берутся журналы.