Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Failed Login

    Загружено:

    Victor Montiel Ramirez
    15 просмотров5 страниц

    Оригинальное название

    Failed Login.docx

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    15 просмотров5 страниц

    Failed Login

    Загружено:

    Victor Montiel Ramirez

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 5

    Comentarios de Cierre de Failed Login

    AFRA:

     GRAPHOSPECTOR: Se verifico que hay 2 logs fallidos en el equipo (failed Login) ambos
    son con un tipo de inicio de sesión 3 (logon type) y en ambos el usuario que intenta
    acceder al servidor es "servadm", es decir el usuario de GFx, desde el equipo
    "GFXIRS01", dicho equipo pertenece a nuestro compañero Joseph Martinez, quien se
    encuentra realizando un trabajo provisional en las instalaciones de Afra, por lo tanto,
    se determina que los logs son generados por error humano

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHO4V: Se procedió a verificar los Logs del equipo y se determinó que los mismos
    se levantan por 2 razones:
    1-) Un inicio de sesión fallido al intentar acceder a SQL server, el log no indica el
    usuario que intenta acceder
    2-) Se levantan logs fallidos porque el firewall de Windows está bloqueando una
    conexión entrante pero no ha podido notificar al usuario.

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHOS001: Se procedió a verificar los logs con error del equipo y solo se
    observaron 2 failed login, ambos el día de ayer bajo el tipo de inicio de sesión "logon
    type" 5, se determinó que este "logon type" apunta a que el Administrador de control
    de servicios ha iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
    Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
    desde bibliotecas de vínculos dinámicos (DLL)

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHOS4011: Se procedió a verificar y se observó que los failed login fueron


    originados bajo el tipo de inicio de sesión (logon type) 3, dicho tipo indica que fue a
    través de la red, mediante el protocolo de autenticación "Kerberos", pero los mismos
    no indican usuario, ni el equipo del cual se intenta conertar, lo que si se observa es que
    los logs son en horario laboral, por lo tanto, se procederá a cerrar el ticket

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHO:
     GRAPHOV:
     GRAPHO6:
     GRAPHO7V: Se procedió a verificar los Logs del equipo y se consiguio uno del día de
    hoy, el mismo se levantó por la siguiente razón:
    Un inicio de sesión fallido al intentar acceder a SQL server, ya que dicho Servidor se
    encarga de la administración de BD de Producción Chequeras en GRAPHO-FORMAS
    AFRA, mediante MS SQL Server, el log no indica el usuario que intenta acceder, ni el
    equipo del cual intenta ingresar, pero el mismo fue registrado en horario laboral, por
    lo tanto, se procede a cerrar el ticket

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHO8V: Se procedio a verificar los Logs del equipo, solo encontro uno bajo el
    Event ID 4625, con el tipo de inicio de sesion (Logon Type) 2, el cual apunta a un inicio
    interactivo es decir físicamente desde el servidor en cuestion no se muestra el usuario,
    lo que si se muestra es el sub estado:
    0XC000006E: Nombre de usuario desconocido o contraseña incorrecta.
    Por tal motivo, se considera error humano y se procede a cerrar el ticket

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHOTS: Se verifico los logs del equipo y se observó que los logs son generados por
    los siguientes usuarios:
    -luis.ruiz
    -keynia.ramirez
    Con el código 0xC000006D, el mismo apunta a que el intento de inicio de sesión no es
    válido debido a un mal nombre de usuario
    De igual forma hay que acotar que dicho servidor se usa para conexiones remotas, ya
    que cumple el rol de terminal service en Insenica y en Imprime360 para utilizar Profit
    2k8, por lo tanto, los logs son aceptables, se procede a cerrar el ticket

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

    INSENICA

     GRAPHOIND01:
     GRAPHOIND17:
     GRAPHOIND18: Se procedió a verificar y se observó que los failed login fueron
    originados bajo el tipo de inicio de sesión (logon type) 7, el mismo apunta a que el
    servidor fue desbloqueado, es decir el equipo se encontraba en estado de bloqueo y al
    desbloquear se generó el log porque seguramente él hubo algún error en una de las
    credenciales

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHOIND27: Se procedió a verificar y se observó que los failed login fueron


    originados bajo el tipo de inicio de sesión (logon type) 3, desde el equipo
    GRAPHOIND26, por el usuario jesus.sifontes, dicho usuario es el único autorizado a
    conectarse a los servidores en Insenica, por lo tanto se procede a cerrar el caso

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     GRAPHO5:

    IMPRIME 360

     IMPRIME360: Se procedió a verificar los logs del equipo, todos poseen el "Event ID"
    numero 4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a
    conexión remota al equipo en cuestión desde el equipo GRAPHOTS por el usuario Luis
    Ruiz, todos los logs con el código de estado:
    0XC000006D = Esto se debe a un mal nombre de usuario o información de
    autenticación.
    El servidor GRAPHOTS es el que cumple el rol de Terminal Server y gestiona la
    conexión entre las empresas insenica y 360, se recomienda conversar con el usuario
    para evitar que se levante este tipo de alertas

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     IMPRIME360B: Se procedió a verificar los logs del equipo, todos poseen el "Event ID"
    numero 4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a
    conexión remota al equipo en cuestión desde el equipo IMPRIME360F el cual es otro
    servidor de la empresa al ser IMPRIME360B uno de los DC se considera normal este
    tipo de enventos, por lo tanto se procede a cerrar el ticket.

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     IMPRIME360E: Se procedió a verificar los logs con error del equipo y solo se
    observaron failed login, bajo el tipo de inicio de sesión "logon type" 5, se determinó
    que este "logon type" apunta a que el Administrador de control de servicios ha
    iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
    Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
    desde bibliotecas de vínculos dinámicos (DLL)
    También hay failed login de tipo 3 (logon type) de usuarios intentando conectarse al
    equipo en cuestión, por ser dicho equipo un DC se consideran normales los logs en el
    mismo

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I
     IMPRIME360F: Se procedió a verificar los logs con error del equipo y solo se
    observaron failed login, bajo el tipo de inicio de sesión "logon type" 5, se determinó
    que este "logon type" apunta a que el Administrador de control de servicios ha
    iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
    Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
    desde bibliotecas de vínculos dinámicos (DLL)
    Tambien hay failed login de tipo 3 (logon type) de usuarios intentando conectarse al
    equipo en cuestion, por ser dicho equipo un DC se consideran normales los logs en el
    mismo

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     PROFIT: Se procedió a verificar los logs del equipo, todos poseen el "Event ID" numero
    4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a conexión
    remota al equipo en cuestión desde otro equipo, al ser este servidor de PROFIT, todos
    los usuarios que utilizan este sistema tiene acceso a este Server, es normal que se
    generen este tipo de alertas en este tipo de servidores, ya que a veces los usuarios por
    teclear rápido, ingresan alguna credencial de forma errada y este tipo de acciones
    levantan este tipo de logs, por lo tanto se procede a cerrar el caso.

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

     SQLVIRTUAL: Se procedió a verificar los logs del equipo, todos poseen el "Event ID"
    numero 4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a
    conexión remota al equipo en cuestión desde otro equipo, lo que no se muestra es el
    usuario que intenta acceder al server, ni el equipo desde el cual intenta acceder, lo
    que si muestra son los estados del log
    *0xC0000133 = Este código de estado se refiere a que no hay sincronización de tiempo
    entre la estación de trabajo y el servidor, una diferencia de más de 5 menos entre un
    equipo y otro 5 más de 5 minutos.
    *0xC000006D = El intento de inicio de sesión no es válido debido a un mal nombre de
    usuario

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

    TRADUCCIONES TEP

    SPANISHASAP1: Se procedió a verificar los logs con error del equipo y solo se
    observaron 2 tipos failed login, el primer tipo con el event ID 4625 bajo el tipo de inicio
    de sesión "logon type" 5, se determinó que este "logon type" apunta a que el
    Administrador de control de servicios ha iniciado un servicio. El servicio iniciado en
    ambos casos fue services.exe.
    Services.exe es un proceso de windows, es el manejador de servicios de windows, es el
    que se encarga de iniciar y detener servicios dentro del sistema, al igual que maneja
    los servicios que se inician junto con el Windows. Por lo tanto se considera un log
    normal puesto que el servidor SPANISHASAP1 ejecuta varios roles y es normal que
    ejecute gran cantidad de servicios en simultaneo y estos servicios en ocaciones tienen
    a detenerse, iniciarse y reiniciarse.
    El segundo tipo con el event ID 4771 dicho log apunta a Error de autenticación previa
    de Kerberos. Este evento está registrado solo en los controladores de dominio y solo
    se registran las instancias de falla de este evento. Dicho evento muestra el código de
    falla: 0x18 lo cual indica, que la información de autenticación previa no es válida, por
    lo general, significa contraseña incorrecta

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

    SAPNISHASAP2: Se procedió a verificar y se observó que los failed login fueron


    originados bajo el tipo de inicio de sesión (logon type) 3, dicho tipo indica que fue a
    través de la red, mediante el protocolo de autenticación "Kerberos", pero los mismos
    no indican usuario, ni el equipo del cual se intenta conectar, lo que si se observa es
    que los logs son en horario laboral, por lo tanto, se procederá a cerrar el ticket

    Ing. Victor Montiel


    Ingeniero de Implementación y Soporte Nivel I

    Вам также может понравиться