我的一个域控制器的 Windows 审计事件数量异常多。我能够识别的共同点是 90% 的日志共享一个公共 SID。给定的一组日志中可能会生成数千个。
引用的用户 SID 是 SYSTEM。当 DC1 上发生这种情况时,DC2 被引用为事件用户,反之亦然。这些设置以 5 分钟为增量准确发生。我已经检查了 Windows 事件日志计划任务,甚至检查了我从 Nagios 运行的检查。没有任何迹象表明此行为的来源。
我确实设法通过重新启动将此行为从一个 DC 移动到另一个 DC。
我如何才能准确追踪使用此 SID 运行的程序以确定导致此行为的原因?
编辑:
我尝试运行 dcdiag 和 repadmin 来查看这是否与这些框上的 DC 角色直接相关。没有报告任何错误。在 Windows 事件日志中搜索 GUID 和调用 ID 没有帮助。
答案1
GUID 将解析为相同的内容,即 SYSTEM。请参阅本文。
事件日志条目应该包含 ProcessName 和 ProcessId,它们会告诉您日志来自何处。