Переполнение журнала безопасности
 

Есть сеть. Все ПК В домене.
2 дня назад началось повальное переполнение журнала безопасности.
Некто пытается залогиниться на ПК из неизвестного домена, неизвестной машины, под логином которого несуществует.
пропинговал имя машины - выбросило в интернет на сайт shai.spb.ru
попробовал зайти на машины с которой по журналу пытались зайти - такой нету.
На локальных машинах вирусов нет. Сеть большая. К каждой машине подходить очишать журнал каждое утро нереально.
похоже на вирус.. как бы найти с какой машины? снифер какой поставить?
или что еще? чтоб хотя бы айпишик найти откуда попытки авторизации идут.

А и не надо. Сделай Group Policy. Например на OU Computers. Для этого нужно этот OU создать и впихнуть туда все компьютеры домена.
Смотреть в Computer Configuration -> Windows Setting -> Security Settings -> Event Log.
Там можно задать все параметры.
Для того, чтобы ответить на остальное, нужно знать, как у тебя устроена сеть.
Интересен момент: у тебя что, машины в локалке имеют реальные адреса?

Тхнолог, который обслуживает ту сеть, говорит что он на локальных машинках пробовал выставлять "затирать старые события по необходимости" - не помогло. Размер журнала тоже пробовали увеличить.
GP это конечно вариант, но хотелось бы все-таки найти того кто ломитсо в мою сеть.. а то ведь раз раз и войдет куда не надо.
Насчет "у тебя что, машины в локалке имеют реальные адреса?". Мне не совсем понятен вопрос.. "реальные адреса" это как???

реальные адреса - это адреса видимые из интернет, а не внутрение локальных сетей, которые за NAT'ом находятся. учите матчасть

нет. там локальные адреса.

добавлено через 5 минут
тобишь внутреннии

Тогда вообще непонятно, каким образом в твою локальную сеть могут ломиться машины с чужими реальными адресами.
Вернее реально похоже на троян.
Сниффер - Wireshark
Далее - NMap - просканировать всю локальную сеть, и посмотреть, какие порты на машинах открыты.