в событиях безопасности вылезают постоянно события 538 и 540. Что это и как от них избавиться...

http://www.eventid.net/display.asp?eventid=538&eventno=7&source=Security&phase=1
This event indicates a user logged off. The corresponding logon event (528) can be found by comparing the <logon id> field
отлогофился юзер.
http://www.eventid.net/display.asp?eventid=540&eventno=9&source=Security&phase=1
This event indicates that a remote user has successfully connected from the network to a local resource on the server, generating a token for the network user.
подключился по сети.
как от них избавиться...
отключить аудит этих событий в групповых (в домене) или локальных (stand-alone pc) политиках.
any more questions?

Что это и как от них избавиться
А зачем от них избавляться? Данные записи сильно помогают вести аудит безопасности.

Это понятно, но почему он пишет вместо пользователя АНОНИМНЫЙ ВХОД, и лишь иногда имя пользователя...

Дабл-клик на данном событии помог бы прояснить картину.
Может быть море причин для этого. Локальные сервисы стартуют, соединение с IIS (с включенным анонимным логоном), ...
Запретите в групповых политиках анонимный вход в систему.

Запретите в групповых политиках анонимный вход в систему.

Подскажи плиз где конкретно в политиках он отключается, а то что-то не найти...:(

заранее спасибо...

Вот здесь почитайте:
http://www.microsoft.com/rus/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch12.mspx