Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits

Les logs de sécurité Windows indiquent que le fichier avtar.exe accède à chaque profil utilisateur sur un client

Résumé: Les logs de sécurité Windows indiquent que le fichier avtar.exe accède à chaque profil utilisateur sur un client

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes



Les logs de sécurité Windows indiquent que le fichier avtar.exe accède à chaque profil utilisateur sur un client.

Pour les profils utilisateur actifs, les entrées se présentent comme suit :


Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 


-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe


Pour les profils utilisateur qui ont expiré, il se présente de la manière suivante :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.


Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: 
C:\Program Files\avs\bin\avtar.exe

Pour les profils utilisateur désactivés, il se présente comme suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 


Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe


Vous pouvez également rencontrer des entrées similaires à ce qui suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 


Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe


Vous trouverez ci-dessous une liste des états/sous-états courants que vous êtes susceptible de rencontrer :
 
Code d’état/sous-état Description
0XC000005E Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session.
0xC0000064 Connexion de l’utilisateur avec un compte d’utilisateur incorrect ou mal orthographié
0xC000006A Connexion de l’utilisateur avec mot de passe incorrect ou mal orthographié
0XC000006D Code pouvant être dû à un nom d’utilisateur ou à des informations d’authentification erronés.
0XC000006E Nom d’utilisateur inconnu ou mot de passe incorrect
0xC000006F Connexion de l’utilisateur en dehors des heures autorisées
0xC0000070 Connexion de l’utilisateur à partir d’une station de travail non autorisée
0xC0000071 Connexion de l’utilisateur avec un mot de passe ayant expiré
0xC0000072 Connexion de l’utilisateur à un compte désactivée par l’administrateur
0XC00000DC Indique que l’état du serveur Sam ne permet pas d’exécuter l’opération souhaitée
0XC0000133 Problème de synchronisation des horloges entre le contrôleur de domaine et un autre ordinateur
0XC000015B Le type de connexion demandé (alias de connexion) n’a pas été attribué à l’utilisateur sur cet ordinateur
0XC000018C La demande de connexion a échoué en raison d’un problème au niveau de la relation de confiance entre le domaine principal et le domaine de confiance
0XC0000192 Une tentative de connexion a été effectuée, mais le service Netlogon n’a pas démarré
0xC0000193 Connexion de l’utilisateur avec un compte ayant expiré
0XC0000224 Obligation pour l’utilisateur de modifier le mot de passe à la prochaine connexion
0XC0000225 Indique un bug dans Windows, et non un risque
0xC0000234 Connexion de l’utilisateur avec un compte verrouillé
0XC00002EE Raison de l’échec : une erreur s’est produite lors de la connexion
0XC0000413 Échec de connexion : l’ordinateur sur lequel vous vous connectez est protégé par un pare-feu d’authentification. Le compte spécifié n’est pas autorisé à s’authentifier sur cet ordinateur.
Pour obtenir une liste complète des codes, voir http://errorco.de/win32/ntstatus-h/

Ces entrées sont ajoutées au log de sécurité de chaque profil utilisateur de l’ordinateur client chaque fois qu’une sauvegarde est effectuée.

Cause

 À la fin de chaque sauvegarde, le processus avtar collecte des informations sur chaque profil du client.

Le log avtar contient la ligne suivante (notez que le nombre indiqué varie en fonction du nombre de profils) :

avtar info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles


Cette collecte de profils se produit à la fin de chaque session avtar sur une machine Windows.  Cela signifie qu’elle intervient non seulement à la fin d’une sauvegarde du système de fichiers Windows (avtar), mais également à chaque fois qu’un plug-in génère un processus avtar.exe.  Autrement dit, si une sauvegarde VSS Windows génère 3 processus avtar pour sauvegarder divers volumes, les profils sont collectés 3 fois.

Cette collecte de profils est activée par défaut, mais elle est uniquement utilisée pour les restaurations DTLT.  Pour chaque profil utilisateur, avtar récupère tous les groupes auxquels appartient l’utilisateur en question, afin de déterminer s’il s’agit d’un administrateur local.  Ces informations sont utilisées pour déterminer les fichiers que l’utilisateur connecté peut voir et restaurer à l’aide de l’interface Web de DTLT.

Résolution

Bien que ces entrées de sécurité puissent être ignorées sans risque, il est possible de désactiver la collecte de profils sur les clients Windows Server.  Cette collecte de profils ne doit pas être désactivée sur des ordinateurs de bureau ou portables qui utilisent l’interface Web de DTLT.

Pour savoir comment désactiver la collecte des profils, veuillez contacter le support Avamar.

Produits concernés

Avamar

Produits

Avamar, Avamar Client, Avamar Client for Windows
Propriétés de l’article
Numéro d’article: 000054866
Type d’article: Solution
Dernière modification: 01 mars 2021
Version:  3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.