Я получаю около 200 тысяч таких в час:
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: SYSTEM Имя учетной записи: TGSERVER $ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7
Тип входа: 4
Учетная запись, для которой не удалось войти в систему: идентификатор безопасности: NULL SID Имя учетной записи: администратор Домен учетной записи: TGSERVER
Информация о сбое: Причина сбоя: Неизвестное имя пользователя или неверный пароль. Статус: 0xc000006d Дополнительный статус: 0xc0000064
Информация о процессе: Идентификатор вызывающего процесса: 0x334 Имя вызывающего процесса: C: \ Windows \ System32 \ svchost.exe
Сетевая информация: Имя рабочей станции: TGSERVER Сетевой адрес источника: - Порт источника: -
Подробная информация для аутентификации: процесс входа в систему: Advapi
Пакет аутентификации: Транзитные службы согласования: - Имя пакета (только NTLM): - Длина ключа: 0Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа.
В полях «Тема» указывается учетная запись в локальной системе, которая запросила вход. Чаще всего это служба, такая как служба сервера, или локальный процесс, например Winlogon.exe или Services.exe.
Поле «Тип входа» указывает тип запрошенного входа в систему. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
В полях «Информация о процессе» указано, какая учетная запись и процесс в системе запросили вход.
Поля информации о сети указывают, откуда исходит запрос удаленного входа в систему. Имя рабочей станции не всегда доступно и в некоторых случаях может быть оставлено пустым.
Поля информации для аутентификации предоставляют подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Будет 0, если сеансовый ключ не был запрошен.
На моем сервере ... Я изменил свое административное имя пользователя на другое, и с тех пор я получил эти сообщения.
Я нашел на http://technet.microsoft.com/en-us/library/cc787567(v=WS.10).aspx что 4 означает «Тип пакетного входа в систему используется серверами пакетной обработки, где процессы могут выполняться от имени пользователя без их прямого вмешательства». что на самом деле не проливает на меня никакого света.
Я проверил службы, и все они входят в систему как локальная система или сетевая служба. Ничего для администратора.
Кто-нибудь знает, как я могу сказать, откуда они? Я бы предположил, что это программа, которая терпит неудачу ...
Заранее спасибо!
Согласно инструкциям Шейна, я проверил планировщик задач и, о чудо, произошло событие, в котором говорилось, что произошел сбой из-за ошибок аутентификации. Я изменил имя пользователя и пароль и перезапустил его, и в файле журнала больше не было записей.