也是从晚上找的 仅供参考
因为您的计算机上已经记录了4625事件,所以审核策略应该是没有问题的。
关于一些NTLM认证的事件,工作站,或caller process的部分会有一些情况出现空白。日志时间本身可能捕捉不到更详细的信息。
以下几个方法可以协助您找到caller process 或者源网络地址:
如果事件发生的频率高,可以考虑使用network monitor 或者process monitor工具。打开工具,然后复现问题,过程就会被记录。
如果比较难复现问题,可以打开netlogon debug log,只要问题复现就会被记录到log里面。
关于启用debug log,使用以下命令
> nltest /dbflag:0x2080ffff
关闭log使用以下命令
> nltest /dbflag:0x0
The NetLogon logging level is stored in the following registry value:
HKLM\System\CurrentControlSet\Services\Netlogon Parameters\DBFlag
debug log的位置在: %SYSTEMROOT%\debug\Netlogon.log
