ereignis 538, 540: user logon obwohl keiner da im small business server?

le bart · 05.11.2007, 12:49

hy
ich wollt mal checken, ob die putzkollone eh keinen scheiss anstellt und bin draufgekommen, dass im sicherheitsprotokoll vom sbs2003 unter dem benutzer <computername einer physischen maschine> die events 538 u 540 (an- u. abmeldung) genau mit den bürozeiten übereinstimmen. passt.

aber unter dem jeweiligen user passts einfach net, da sind anmeldungen ohne passende abmeldungen zu zeiten und tagen an denen sicher keiner remote oder physisch da war. die fraglichen geisteranmeldungen sind vom typ3 und es steht nix von kerberos drin.

ich frag mich, woran liegen diese protokolleinträge, gibts dienste die dies auslösen? es düfte sich nicht um eindringlinge handeln, da wirklich eingeloggte user nicht einen einzelnen 538 eintrag auslösen, sondern einen dauernden wechsel von 538, 540 über den ganzen tag hin

thx!

05.11.2007, 12:49	#1
le bart Veteran Registriert seit: 07.11.2003 Alter: 50 Beiträge: 393	ereignis 538, 540: user logon obwohl keiner da im small business server? hy ich wollt mal checken, ob die putzkollone eh keinen scheiss anstellt und bin draufgekommen, dass im sicherheitsprotokoll vom sbs2003 unter dem benutzer <computername einer physischen maschine> die events 538 u 540 (an- u. abmeldung) genau mit den bürozeiten übereinstimmen. passt. aber unter dem jeweiligen user passts einfach net, da sind anmeldungen ohne passende abmeldungen zu zeiten und tagen an denen sicher keiner remote oder physisch da war. die fraglichen geisteranmeldungen sind vom typ3 und es steht nix von kerberos drin. ich frag mich, woran liegen diese protokolleinträge, gibts dienste die dies auslösen? es düfte sich nicht um eindringlinge handeln, da wirklich eingeloggte user nicht einen einzelnen 538 eintrag auslösen, sondern einen dauernden wechsel von 538, 540 über den ganzen tag hin thx!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)