请帮忙分析一下系统日志
本帖最后由 maguoji 于 2013-4-23 20:29 编辑exchange 2010 服务器,在系统安全日志下有很多类似下面的日志,请帮忙分析一下,这是什么登录方式,exchange 中有关于这种方式的详细日志吗(我看了所有的日志,没看到类似内容),我想分析一下具体的内容,比如ip来源等?
帐户登录失败。
主题:
安全 ID: NETWORK SERVICE
帐户名: EXCHANGE$
帐户域: xxxx
登录 ID: 0x3e4
登录类型: 8
登录失败的帐户:
安全 ID: NULL SID
帐户名: xxxx@xxxx.xxx
帐户域:
失败信息:
失败原因: 帐户已锁定。
状态: 0xc0000234
子状态: 0x0
进程信息:
调用方进程 ID: 0x1184
调用方进程名: E:\Exchange Server\Bin\EdgeTransport.exe
网络信息:
工作站名: EXCHANGE
源网络地址: -
源端口: -
详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
登录请求失败时在尝试访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如
Winlogon.exe 或 Services.exe)。 是从边缘的服务器上看到的这个事件日志吗?有没有启用SMTP协议记录。可以找一下这段时间前后的日志看看。 谢谢钉子,没有安装边缘服务器,我在代理日志中已经找到了该事件的记录,最近几天都有发生,怀疑是同一人所为,但是来源ip分别属于不同的地方 上海 江苏 河南 北京,每天的地址是一个,估计可能用了ip地址欺骗,我在路由器上开启ip验证(cisco),回头在监控一下,不知有没效果
页:
[1]
