Windows Server 2003,VMWare VirtualCenter 2.5。
有些东西不断尝试使用禁用的域帐户login到VirtualCenter; VirtualCenter在其自己的日志中以及在安全事件日志中由Windowslogging失败的login尝试。 这大概每隔一两分钟就发生一次。 login尝试的来源是127.0.0.1,所以它必须是服务器本身上运行的某个进程。
没有服务作为此用户帐户运行,系统上没有任何预定作业。 任务pipe理器也不显示在此帐户下运行的任何进程。
用户帐户的名称无法在registry中find。
但有些过程正在尝试使用它,并失败。 这可能不是一些关键的过程,因为除了那些日志条目之外,一切似乎都正常工作; 它可能只是早已安装并遗忘的东西。
不pipe它是什么,它可能在另一个用户帐户(可能是一个系统)下运行,但主动尝试使用这些凭据login到VC,这些凭据可能保存在某个configuration文件中,因为它们不存储在registry中。
如何通过审计Windows或VirtualCenter来跟踪哪个进程尝试(和失败)这些login尝试?
我会尝试使用procmon和过滤用户标识。 这应该会导致与用户一样偶尔运行的任何事情。
这是一个监测程序的旧代理(不再使用)。
我是如何find它的:
该程序的日志确认它总是失败login。
卸载成功(不再使用),问题解决:-)