Windows Server 2003,VMWare VirtualCenter 2.5。
某些东西不断尝试使用已禁用的域帐户登录 VirtualCenter;VirtualCenter 会将失败的登录尝试记录在其自己的日志中,Windows 则会将失败的登录尝试记录在安全事件日志中。这种情况大约每隔一两分钟就会发生一次。登录尝试的来源是 127.0.0.1,因此一定是服务器本身上运行的某个进程。
此用户帐户下没有运行任何服务,系统中也没有计划作业。任务管理器也没有显示此帐户下正在运行的任何进程。
在注册表中找不到该用户帐户的名称。
但有些进程试图使用它,但失败了。它可能不是某个关键进程,因为除了那些日志条目之外,一切似乎都运行良好;它可以只是很久以前安装并被遗忘在那里的东西。
无论它是什么,它可能在另一个用户帐户(可能是系统帐户)下运行,但正在积极尝试使用这些凭据登录 VC,这些凭据可能保存在某个配置文件中,因为它们没有存储在注册表中。
我如何通过审核 Windows 或 VirtualCenter 来跟踪哪个进程正在尝试(并失败)这些登录尝试?
答案1
我会尝试使用进程监控并根据用户 ID 进行过滤。这样应该会显示偶尔以该用户身份运行的所有程序。
答案2
它是一个监控程序的旧代理(不再使用)。
我如何找到它:
- 猜测它正在打开与虚拟中心(TCP 端口 443)的连接,尝试进行身份验证,失败,关闭连接。
- 在事件日志条目出现后,使用 NETSTAT 查找处于关闭状态的连接。
- 找到进程 ID。
- 找到进程。
- 服务停止,活动停止。
该程序的日志证实其始终登录失败。
成功卸载(不再使用),问题解决:-)