Ами аз пак за Event Viewer... Тоя път ме изненада със съобщение което не съм срещал през вече 6-годишната си практика! Ето го:

Date: 31.05.2004
Time: 12:58
Type: Success
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: MUSHROOM
Source: Security
Category: Logon/Logoff
Event ID: 538
Description:
User Logoff:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x8B81)
Logon Type: 3


Това са си тайни и загадки защото въпросния ANONYMOUS LOGON никъде не е записван да се е логвал он. И изобщо за пръв път му чувам името! Щях да се задоволя с предположението, че това е IIS, ако той си нямаше собствен потребител, кото е редовен клиент на логовете.

Моля ако някой има представа кой се е маскирал така в лога ми да сподели. Благодаря!

So long and thanks for all the fish!

Съвсем случайно да имаш пуснат M$ SQLServer?

Виждал съм подобно нещо веднага след стартирането на компютъра. Бях си пуснал да се логва стартиране и спиране на процеси и имаше процес, който се пускаше от анонимния потребител. Не помня повече подробности.
Тогава така и не разбрах какво е. Ама сега, като се замисля, може и да е нормално. Преди да тръгне системата за сигурност, както и да се нарича тя, тя трябва да се пусне по някакъв начин. И предполагам, че просто поради липса на потребители на този ранен етап това събитие се записва в event log-а като извършено от анонимен потребител.
Разбира се, това е просто хипотеза и като се има предвид, че не знам как точно стартира Windows, може да съм написал и пълни глупости :)

Боян

Wyzmojno e da se e pryknal i nov worm .... edin poznat dneska mi se oplaka che 2k-to mu se restartiralo prez 5-10 min
pishelo che bilo requested by NT authotity service .....
chestno kazano v adm. tools -> services ne mojah da otkria takyv service.

По този въпрос съществуват две мнения. Едното е неправилно, а другото е моето.

Тва добре, ама някъде по-напред требва да се види подобно нещо с Event ID: 528.
Щото 538 е логофф, а логофф без преди това да е имало логон си е таковало таковата и си е за хапане на джуки.

Виж там и кажи каква е хавътъ :))))

"Пай се! Апем лошо!"

Още нещо:

Event ID 538 Possibilities Logon Type
Network Logoff 3
Net use disconnection 3
Auto-disconnect 3
Interactive Logoff 2

Да не е дошло това нещо от разкачване на мапнато устройство някъде из мрежата?
Ако имаш споделен ресурс и някой си го е мапнал, излиза, че може да се получи и тая гъзария, когато го разкачва.

Лечение: слагай "сървиз пак 4" и повече никога нема да си изкараш ангелите по тоя начин :))))

Редактирано от lngonyama на 02.06.04 10:40.

СП 4 е отдавна сложен. Да не говорим, че изобщо не ползвам нетбиос - спрял съм си файл&принт шеринг и отделно файъруола ми блокира нетбиос трафика. Прегледах за вируси - както обикновено няма

Забелязах обаче едно друго инресно нещо има записани събития за log-off на IUSR_computername - много ми е любопитно кое събитие системата отчита по този начин.

So long and thanks for all the fish!

IUSR_computername:
A default account with anonymous logon privileges for accessing Internet-based services such as FTP, WWW, and Gopher. This account is created during the installation of Internet Information Services (IIS).

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

И как твоя пост отговаря на въпроса кое събитие Windows отчита като log-off на IUSR_computername? Аз от години знам какъв е този акаунт и за какво служи, но не там е проблема. Май ти трябва да се научиш да четеш въпросите преди да даваш отговори!

So long and thanks for all the fish!

What is NT AUTHORITY \ ANONYMOUS? This event is logged when a the password is expired and the user tries to change it during logon. Thus you get no User Name but NT AUTHORITY \ ANONYMOUS written in the log. This error generates calls from Security Admins when they don't understand the meaning of the error. On the surface, it sounds ominous.