Windows Server 2003, VMWare VirtualCenter 2.5.
Algo está tentando continuamente fazer logon no VirtualCenter usando uma conta de domínio desabilitada; as tentativas de logon com falha são registradas pelo VirtualCenter em seus próprios logs e pelo Windows no log de eventos de segurança. Isso acontece aproximadamente a cada minuto ou dois. A origem das tentativas de logon é 127.0.0.1, portanto, deve haver algum processo sendo executado no próprio servidor.
Não há serviços sendo executados como essa conta de usuário nem trabalhos agendados no sistema. O gerenciador de tarefas também não mostra nenhum processo em execução nesta conta.
O nome da conta do usuário não está em nenhum lugar no Registro.
Mas algum processo está tentando usá-lo e falhando. Provavelmente não é um processo crítico, pois tudo parece estar funcionando bem, além dessas entradas de log; poderia ser apenas algo que foi instalado há muito tempo e esquecido lá.
Seja o que for, provavelmente está sendo executado em outra conta de usuário (possivelmente uma do sistema), mas está tentando ativamente fazer logon no VC usando essas credenciais, que provavelmente estão salvas em algum arquivo de configuração, já que elas não estão armazenadas no Registro.
Como posso controlar qual processo está tentando (e fracassando) essas tentativas de logon, seja pela auditoria do Windows ou do VirtualCenter?