ค้นหาไดรฟ์เครือข่าย โปรแกรม หรือสิ่งประดิษฐ์ที่ทำให้การเข้าสู่ระบบล้มเหลว

ฉันกำลังพยายามจัดระเบียบสถานการณ์ Active Directory บนเครือข่าย ปัญหาหนึ่งที่มีอยู่คือบัญชีผู้ใช้พยายามเข้าสู่ระบบจำนวนมาก (500 ish) กับตัวควบคุมโดเมนและรหัสผ่านไม่ถูกต้อง

ฉันใช้เครื่องมือต่างๆ เช่น ADAudit Plus ที่แสดงชื่อผู้ใช้, ip และตัวควบคุมโดเมนสำหรับการพยายามเข้าสู่ระบบ ฉันลงชื่อเข้าใช้เครื่อง และไม่มีไดรฟ์ที่แมป ไม่มีไดรฟ์เครือข่าย ไม่มีแอปพลิเคชัน ฉันเห็นว่ากำลังพยายามเข้าสู่ระบบนี้จากเครื่องนั้น คำถามของฉันคือ มีวิธีที่ดีกว่านี้หรือไม่ที่ฉันสามารถระบุตำแหน่งสิ่งประดิษฐ์ที่ไม่เหมาะสมเพื่อลดจำนวนคำขอเข้าสู่ระบบที่ล้มเหลวจำนวนมากนี้

ความนับถือ

ค้นหา ID เหตุการณ์ 5625

เหตุการณ์ 4625 ถูกสร้างขึ้นเมื่อคำขอเข้าสู่ระบบล้มเหลวและถูกสร้างขึ้น บนคอมพิวเตอร์ ที่พยายามเข้าถึง

ฟิลด์เรื่องระบุบัญชีในระบบภายในที่ร้องขอการเข้าสู่ระบบ (อาจเป็น 0x0) โดยทั่วไปมักเป็นบริการ เช่น บริการเซิร์ฟเวอร์ (SMB-) หรือกระบวนการในเครื่อง เช่น Winlogon หรือบริการ

ช่องประเภทการเข้าสู่ระบบจะระบุประเภทการเข้าสู่ระบบที่ได้รับการร้องขอ ประเภทที่พบบ่อยที่สุดคือ:

• 0 (บัญชี "ระบบท้องถิ่น" มักใช้โดยบริการในพื้นที่)
• 2 (โต้ตอบ)
• 3 (เครือข่าย)

ช่องข้อมูลกระบวนการระบุว่าบัญชีและกระบวนการใดในระบบที่ร้องขอการเข้าสู่ระบบ (หรือมี 0x0 เป็นตัวบ่งชี้สำหรับ "บริการในพื้นที่") "ความยาวคีย์" ระบุความยาวของคีย์เซสชันที่สร้างขึ้น ค่านี้จะเป็น 0 หากไม่มีการร้องขอคีย์เซสชัน (ซึ่งชี้ไปยังบริการในพื้นที่โดยใช้ข้อมูลประจำตัวของบริการในพื้นที่ผิด)