많은 FAILURE AUDIT : 계정이 보안 로그에 전체 로그온에 실패했습니다

서버에서 많은 실패 감사를 받았습니다. 로그에서 범인 인 특정 머신을 식별했습니다. 로그인 요청을 보내는 프로세스를 어떻게 알 수 있습니까?

알아내는 방법이 있습니까?

아래는 로그의 세부 사항입니다.

\ QKSRVDC212의 보안 로그 :

[2465151] Microsoft-Windows-Security-Auditing

    Type:     FAILURE AUDIT

    Computer: QKSRVDC212.Corp.abc.com

    Time:     7/26/2012 9:31:00 AM   ID:       4625

An account failed to log on.
  Subject:
    Security ID:        S-1-0-0
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0
  Logon Type:           3

  Account For Which Logon Failed:
    Security ID:        S-1-0-0
    Account Name:       Quality
    Account Domain:     QDMNT140

  Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

  Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

  Network Information:
    Workstation Name:   QDMNT140
    Source Network Address: 10.1.1.185
    Source Port:        3973

  Detailed Authentication Information:
    Logon Process:      NtLmSsp
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0


답변

로그인 소스 시스템 ‘QDMNT140’ netstat -ano | findstr 3973에서 일치하는 소스 포트 ‘3973’이 열려있는 프로세스를 확인하는 데 사용 하십시오. 3973 포트가 정적이 아닌 경우 변경되는 포트로 바꾸십시오.