ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 4906|回复: 2
打印 上一主题 下一主题

[求助] 请帮忙分析一下系统日志

[复制链接]
跳转到指定楼层
顶楼
发表于 2013-4-23 20:26:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 maguoji 于 2013-4-23 20:29 编辑

exchange 2010 服务器,在系统安全日志下有很多类似下面的日志,请帮忙分析一下,这是什么登录方式,exchange 中有关于这种方式的详细日志吗(我看了所有的日志,没看到类似内容),我想分析一下具体的内容,比如ip来源等?

帐户登录失败。

主题:
        安全 ID:                NETWORK SERVICE
        帐户名:                EXCHANGE$
        帐户域:                xxxx
        登录 ID:                0x3e4

登录类型:                        8

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                xxxx@xxxx.xxx
        帐户域:               

失败信息:
        失败原因:                帐户已锁定。
        状态:                        0xc0000234
        子状态:                0x0

进程信息:
        调用方进程 ID:        0x1184
        调用方进程名:        E:\Exchange Server\Bin\EdgeTransport.exe

网络信息:
        工作站名:        EXCHANGE
        源网络地址:        -
        源端口:                -

详细身份验证信息:
        登录进程:                Advapi  
        身份验证数据包:        Negotiate
        传递服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如

Winlogon.exe 或 Services.exe)。
沙发
发表于 2013-4-23 21:49:24 | 只看该作者
是从边缘的服务器上看到的这个事件日志吗?有没有启用SMTP协议记录。可以找一下这段时间前后的日志看看。
藤椅
 楼主| 发表于 2013-4-24 15:39:43 | 只看该作者
谢谢钉子,没有安装边缘服务器,我在代理日志中已经找到了该事件的记录,最近几天都有发生,怀疑是同一人所为,但是来源ip分别属于不同的地方 上海 江苏 河南 北京,每天的地址是一个,估计可能用了ip地址欺骗,我在路由器上开启ip验证(cisco),回头在监控一下,不知有没效果
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-23 11:40

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表