locked
Pas d'ip source dans les logs d'échec de connexion RRS feed

  • Question

  • Bonjour,

    J'ai remarqué des echecs de connexion dans mes journaux d'évènements de mon serveur windows et je cherche à identifier d'ou viennent ces échecs (ip source).

    Malheureusement cette information n'apparait pas dans les logs.

    Est ce que quelqu'un saurait ce que signifie ce type d'echecs de connexion svp ?

    Echec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect

    Nom de l'utilisateur : XXXXX

    Domaine : XXXXX

    Type de session : 2 Processus d'ouv. de session : Advapi

    Package d'authentification : Negotiate

    Nom de station de travail : XXXX

    Nom de l'utilisateur appelant:SERVICE RESEAU

    Domaine appelant:AUTORITE NT

    ID de session de l'appelant: XXXX

    ID de processus appelant: 3112

    Services en transit: -

    Adresse réseau source : -

    Port source : -

    vendredi 31 janvier 2014 10:25

Réponses

  • Bonjour,

    Si cette information n'apparait pas, il est probable que l'échec de l'audit est généré par un service, pour, le compte de l'utilisateur.

    Votre utilisateur n'est pas authentifié directement comme dans le cas d'une connexion à Windows. Vous auriez dans cette hypothèse (connexion directe) une adresse IP ou une adresse du style 127.0.... 

    Cette connexion peut-être réalisé par l'intermédiaire d'un autre service comme IIS, SQL etc. .

    Vérifiez les logs de ces services (IIS, SQL...) afin de trouver les adresses IP.

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT

    samedi 1 février 2014 02:07

Toutes les réponses