Scribd
Cargar
53 vistas4 páginas

Failed Login

El documento contiene comentarios de cierre de tickets de fallas de inicio de sesión en varios equipos. Se analizaron los logs y se determinó que las fallas fueron causadas principalmente por intentos de acceso desde otros equipos o por errores humanos al ingresar credenciales.

Cargado por

Victor Montiel Ramirez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
53 vistas4 páginas

Failed Login

El documento contiene comentarios de cierre de tickets de fallas de inicio de sesión en varios equipos. Se analizaron los logs y se determinó que las fallas fueron causadas principalmente por intentos de acceso desde otros equipos o por errores humanos al ingresar credenciales.

Cargado por

Victor Montiel Ramirez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Comentarios de Cierre de Failed Login

AFRA:

 GRAPHOSPECTOR: Se verifico que hay 2 logs fallidos en el equipo (failed Login) ambos
son con un tipo de inicio de sesión 3 (logon type) y en ambos el usuario que intenta
acceder al servidor es "servadm", es decir el usuario de GFx, desde el equipo
"GFXIRS01", dicho equipo pertenece a nuestro compañero Joseph Martinez, quien se
encuentra realizando un trabajo provisional en las instalaciones de Afra, por lo tanto,
se determina que los logs son generados por error humano

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHO4V: Se procedió a verificar los Logs del equipo y se determinó que los mismos
se levantan por 2 razones:
1-) Un inicio de sesión fallido al intentar acceder a SQL server, el log no indica el
usuario que intenta acceder
2-) Se levantan logs fallidos porque el firewall de Windows está bloqueando una
conexión entrante pero no ha podido notificar al usuario.

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHOS001: Se procedió a verificar los logs con error del equipo y solo se
observaron 2 failed login, ambos el día de ayer bajo el tipo de inicio de sesión "logon
type" 5, se determinó que este "logon type" apunta a que el Administrador de control
de servicios ha iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
desde bibliotecas de vínculos dinámicos (DLL)

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHOS4011: Se procedió a verificar y se observó que los failed login fueron


originados bajo el tipo de inicio de sesión (logon type) 3, dicho tipo indica que fue a
través de la red, mediante el protocolo de autenticación "Kerberos", pero los mismos
no indican usuario, ni el equipo del cual se intenta conertar, lo que si se observa es que
los logs son en horario laboral, por lo tanto, se procederá a cerrar el ticket

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHO:
 GRAPHOV:
 GRAPHO6:
 GRAPHO7V: Se procedió a verificar los Logs del equipo y se consiguio uno del día de
hoy, el mismo se levantó por la siguiente razón:
Un inicio de sesión fallido al intentar acceder a SQL server, ya que dicho Servidor se
encarga de la administración de BD de Producción Chequeras en GRAPHO-FORMAS
AFRA, mediante MS SQL Server, el log no indica el usuario que intenta acceder, ni el
equipo del cual intenta ingresar, pero el mismo fue registrado en horario laboral, por
lo tanto, se procede a cerrar el ticket

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHOTS: Se verifico los logs del equipo y se observó que los logs son generados por
los siguientes usuarios:
-luis.ruiz
-keynia.ramirez
Con el código 0xC000006D, el mismo apunta a que el intento de inicio de sesión no es
válido debido a un mal nombre de usuario
De igual forma hay que acotar que dicho servidor se usa para conexiones remotas, ya
que cumple el rol de terminal service en Insenica y en Imprime360 para utilizar Profit
2k8, por lo tanto, los logs son aceptables, se procede a cerrar el ticket

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

INSENICA

 GRAPHOIND01:
 GRAPHOIND17:
 GRAPHOIND18: Se procedió a verificar y se observó que los failed login fueron
originados bajo el tipo de inicio de sesión (logon type) 7, el mismo apunta a que el
servidor fue desbloqueado, es decir el equipo se encontraba en estado de bloqueo y al
desbloquear se generó el log porque seguramente el hubo algun error en una de las
credenciales

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHOIND27: Se procedió a verificar y se observó que los failed login fueron


originados bajo el tipo de inicio de sesión (logon type) 3, desde el equipo
GRAPHOIND26, por el usuario jesus.sifontes, dicho usuario es el único autorizado a
conectarse a los servidores en Insenica, por lo tanto se procede a cerrar el caso

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 GRAPHO5:
IMPRIME 360

 IMPRIME360:
 IMPRIME360B:
 IMPRIME360E: Se procedió a verificar los logs con error del equipo y solo se
observaron failed login, bajo el tipo de inicio de sesión "logon type" 5, se determinó
que este "logon type" apunta a que el Administrador de control de servicios ha
iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
desde bibliotecas de vínculos dinámicos (DLL)
También hay failed login de tipo 3 (logon type) de usuarios intentando conectarse al
equipo en cuestión, por ser dicho equipo un DC se consideran normales los logs en el
mismo

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 IMPRIME360F: Se procedió a verificar los logs con error del equipo y solo se
observaron failed login, bajo el tipo de inicio de sesión "logon type" 5, se determinó
que este "logon type" apunta a que el Administrador de control de servicios ha
iniciado un servicio. El servicio iniciado en ambos casos fue svchost.exe
Svchost.exe es el nombre de proceso de host genérico para servicios que se ejecutan
desde bibliotecas de vínculos dinámicos (DLL)
Tambien hay failed login de tipo 3 (logon type) de usuarios intentando conectarse al
equipo en cuestion, por ser dicho equipo un DC se consideran normales los logs en el
mismo

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 PROFIT: Se procedió a verificar los logs del equipo, todos poseen el "Event ID" numero
4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a conexión
remota al equipo en cuestión desde otro equipo, al ser este servidor de PROFIT, todos
los usuarios que utilizan este sistema tiene acceso a este Server, es normal que se
generen este tipo de alertas en este tipo de servidores, ya que a veces los usuarios por
teclear rápido, ingresan alguna credencial de forma errada y este tipo de acciones
levantan este tipo de logs, por lo tanto se procede a cerrar el caso.

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

 SQLVIRTUAL: Se procedió a verificar los logs del equipo, todos poseen el "Event ID"
numero 4625 TODAS con tipo de inicio de sesión (Logon Type) 3, el cual apunta a
conexión remota al equipo en cuestión desde otro equipo, lo que no se muestra es el
usuario que intenta acceder al server, ni el equipo desde el cual intenta acceder, lo
que si muestra son los estados del log
*0xC0000133 = Este código de estado se refiere a que no hay sincronización de tiempo
entre la estación de trabajo y el servidor, una diferencia de más de 5 menos entre un
equipo y otro 5 más de 5 minutos.
*0xC000006D = El intento de inicio de sesión no es válido debido a un mal nombre de
usuario

Ing. Victor Montiel


Ingeniero de Implementación y Soporte Nivel I

TRADUCCIONES TEP

SPANISHASAP1:
SAPNISHASAP2:

También podría gustarte