Windows-Server-2008

確定在給定 SID 下執行的 exe

  • February 10, 2012

我的域控制器之一是異常大量的 Windows 審核事件。我能夠辨識的共同點是 90% 的這些日誌共享一個共同的 SID。在給定的集合中可能會生成數千個。

引用的使用者 SID 是 SYSTEM。在 DC1 上發生這種情況時,DC2 被稱為事件使用者,反之亦然。這些集合恰好以 5 分鐘為增量發生。我已經檢查了 Windows 事件日誌計劃任務,甚至是我從 Nagios 執行的檢查。沒有任何跡象表明這種行為的根源。

我確實設法通過重新啟動將此行為從一個 DC 移動到下一個 DC。

如何準確跟踪使用此 SID 執行的內容以確定此行為的原因?

編輯:

我嘗試執行 dcdiag 和 repadmin 來查看這是否與這些框上的 DC 角色直接相關。沒有錯誤報告。在 Windows 事件日誌中搜尋 GUID 和呼叫 ID 沒有幫助。

GUID 將解析為相同的,即 SYSTEM。見這篇文章

事件日誌條目應包含 ProcessName 和 ProcessId,它們將告訴您日誌的來源。

引用自:https://serverfault.com/questions/358428