У меня есть домен AD 2008 R2, в котором неоднократно предпринимались попытки входа пользователя, которого здесь нет. Пароль был изменен, поэтому ожидаются неудачные попытки, но я не знаю, откуда эта учетная запись пытается войти в систему. Я знаю имя хоста, с которого происходит попытка входа в систему, и я считаю, что это результат того, что имя учетной записи пользователя было встроено в какое-то приложение, которое должно было использовать вместо этого системную учетную запись, но это история.
Я ищу способ просканировать хост, чтобы найти источник запросов на вход. Они происходят группами и часто, поэтому мне легко найти событие в журналах.
Любые идеи ?
SysMon должен иметь возможность отображать эту информацию, включая исполняемый образ и родительский образ. Это будет записано как событие с идентификатором 1, ProcessCreate.