Como você mencionou, muito poucas informações úteis são fornecidas neste evento. O que podemos ver é:
- Código de erro : 0xC0000064 > STATUS_NO_SUCH_USER / conta não existente
- Tipo de login : 3 > rede ou RDP com NLA
- Pacote de autenticação : Kerberos
- Nome do host de origem : o próprio servidor
In a nutshell, "something" is runinng locally with a wrong username and is trying to authenticate over the network using the Kerberos protocol.
Portanto, as únicas "pistas" que posso sugerir são:
- Procure eventos potenciais ID 4776 (validação de credenciais)
- Procure nos registros do DC por estranhos IDs de eventos do Kerberos com falha: 4771, 4768
- No monitor de recursos, examine a guia diferente e procure um processo que possa abrir várias consultas localmente
- No PerfMon > Trace session, veja se algum rastreamento da sessão existente no software pode ajudá-lo
- E os logs de aplicativos do ConnectWise?