我在我的 DC 上收到了很多失败审计日志,您能指导我吗 - 我应该如何识别罪魁祸首?
请参阅下面的截图以了解更多详细信息。登录类型为 3,这意味着它是网络登录。我已经从日志中识别出工作站,但我该如何证明谁或哪个进程正在向我的 DC 发送带有登录身份验证的广播。防病毒软件也已更新。
注意:- 工作站位于工作组中。
答案1
使用 tcp 视图http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx在工作站上它将告诉您正在与 dc 对话的进程。