异常发现
在日常运维中,分析系统发现默认自带的工作组Default-192.168.x.x在中午时段出现了超过35万次的失败数。
分析过程
通过点击工作组,查看具体成员信息得知,地址192.168.61.15在这段时间出现了27万多个失败访问。
这说明该工作组出现大量失败现象的主要原因是由这台主机异常引起的。
进一步点击这台异常主机,查看具体原因。
分析看到,这台主机主要向2个端口发送了大量的请求数,且多数失败。这两个端口1个是MS-WBT-SRV-TCP(端口为3389),另一个是MSSQL(端口为1433),其中向3389端口发送了9万多次失败访问,向1433发送了6.8万多次。
使用分析系统的主机失败关系图,查看该异常主机,从视图中能够清晰的看到,这台主机存在大量的明显的失败行为。
故障解决
网管人员通过IP地址,定位到这台主机,并对这台主机进行了全面的病毒查杀,确认这台主机感染了病毒。
相关人员对这台主机进行安全加固,异常问题解决。