서버에서 많은 실패 감사를 받았습니다. 로그에서 범인 인 특정 머신을 식별했습니다. 로그인 요청을 보내는 프로세스를 어떻게 알 수 있습니까?
알아내는 방법이 있습니까?
아래는 로그의 세부 사항입니다.
\ QKSRVDC212의 보안 로그 :
[2465151] Microsoft-Windows-Security-Auditing
Type: FAILURE AUDIT
Computer: QKSRVDC212.Corp.abc.com
Time: 7/26/2012 9:31:00 AM ID: 4625
An account failed to log on.
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Quality
Account Domain: QDMNT140
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: QDMNT140
Source Network Address: 10.1.1.185
Source Port: 3973
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
답변
로그인 소스 시스템 ‘QDMNT140’ netstat -ano | findstr 3973
에서 일치하는 소스 포트 ‘3973’이 열려있는 프로세스를 확인하는 데 사용 하십시오. 3973 포트가 정적이 아닌 경우 변경되는 포트로 바꾸십시오.