我有一个 2008 R2 AD 域,其中有不再存在的用户反复尝试登录。密码已更改,因此失败的尝试是可以预料到的,但我不知道该帐户尝试从哪里登录。我知道登录尝试来自的主机的名称,并且我相信这是由于用户的帐户名嵌入到某个应用程序中,该应用程序应该使用系统帐户,但这已成为历史。
我正在寻找一种扫描主机以找到登录请求来源的方法。它们成群出现且频率很高,因此我很容易在日志中找到事件。
有任何想法吗 ?
答案1
SysMon 应该能够显示这些信息,包括可执行映像和父映像。它将被记录为事件 ID 1,即 ProcessCreate。