从远程计算机 10.0.0.2 上的日志消息识别用户活动/进程 - 用户 A，使用服务帐户 B 尝试连接到 10.0.0.3

Question

您的错误非常不明确，它可能是由许多不同原因引起的，其中大多数都不是恶意的。尝试使用过期凭据挂载目录对于旧系统来说是一件大事。特别是当服务使用的是个人凭据而不是服务特定的哈希时。

您需要了解几件事才能找到原因。最重要的是时间。希望所有系统都使用相同的时间源，否则您的问题会变得更加困难。让所有主机都使用相同的时间服务器，然后开始比较日志。如果这是 Windows 域，则该域控制器是域控制器。阅读有关 NTPd 的信息。

深入研究您看到的日志中的错误细节。它应该说明除了凭证失败之外还尝试了什么。

一旦您知道在时间同步后发生这种情况的时间，您需要查看生成请求的系统上的日志。如果这是您要查看的 Linux 主机，\var\log\messages（控制台错误出现的位置），last（history如果您认为它可能对特定用户具有交互性），ps -e（如果它发生在特定时间，您可能会看到它尝试运行），\etc\crontab对于所有用户，或者最有可能是可能正在尝试进行备份的服务配置（smb，nfs）。您不想在重要系统发生故障后发现它没有备份。准备阅读大量页面man。

这是应该追踪的事情之一，这样您就可以记录正在执行它的进程，确定它是否仍然有用且不起作用，或者没有用并且应该停止。

Answer 1

您的错误非常不明确，它可能是由许多不同原因引起的，其中大多数都不是恶意的。尝试使用过期凭据挂载目录对于旧系统来说是一件大事。特别是当服务使用的是个人凭据而不是服务特定的哈希时。

您需要了解几件事才能找到原因。最重要的是时间。希望所有系统都使用相同的时间源，否则您的问题会变得更加困难。让所有主机都使用相同的时间服务器，然后开始比较日志。如果这是 Windows 域，则该域控制器是域控制器。阅读有关 NTPd 的信息。

深入研究您看到的日志中的错误细节。它应该说明除了凭证失败之外还尝试了什么。

一旦您知道在时间同步后发生这种情况的时间，您需要查看生成请求的系统上的日志。如果这是您要查看的 Linux 主机，\var\log\messages（控制台错误出现的位置），last（history如果您认为它可能对特定用户具有交互性），ps -e（如果它发生在特定时间，您可能会看到它尝试运行），\etc\crontab对于所有用户，或者最有可能是可能正在尝试进行备份的服务配置（smb，nfs）。您不想在重要系统发生故障后发现它没有备份。准备阅读大量页面man。

这是应该追踪的事情之一，这样您就可以记录正在执行它的进程，确定它是否仍然有用且不起作用，或者没有用并且应该停止。

从远程计算机 10.0.0.2 上的日志消息识别用户活动/进程 - 用户 A，使用服务帐户 B 尝试连接到 10.0.0.3

答案1

相关内容