调试易

日志有些信息,如下: 
事件类型: 审核成功 
事件来源: Security 
事件种类: 登录/注销 
事件 ID: 540 
日期: 2009-3-9 
事件: 16:11:00 
用户: NT AUTHORITY\ANONYMOUS LOGON 
计算机: QSDCA-PC 
描述: 
成功的网络登录: 
用户名: 
域: 
登录 ID: (0x0,0x180E57) 
登录类型: 3 
登录过程: NtLmSsp 
身份验证数据包: NTLM 
工作站名: NAMCO-226D6C9DF 
登录 GUID: - 
调用方用户名: - 
调用方域: - 
调用方登录 ID: - 
调用方进程 ID: - 
传递服务: - 
源网络地址: 92.81.208.229 
源端口: 0 
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。 
-------------------------------------------------------------------------------------- 
事件类型: 审核成功 
事件来源: Security 
事件种类: 登录/注销 
事件 ID: 540 
日期: 2009-3-9 
事件: 16:25:27 
用户: NT AUTHORITY\ANONYMOUS LOGON 
计算机: QSDCA-PC 
描述: 
成功的网络登录: 
用户名: 
域: 
登录 ID: (0x0,0x1DCF73) 
登录类型: 3 
登录过程: NtLmSsp 
身份验证数据包: NTLM 
工作站名: FM-1FB54B1BF922 
登录 GUID: - 
调用方用户名: - 
调用方域: - 
调用方登录 ID: - 
调用方进程 ID: - 
传递服务: - 
源网络地址: 125.102.244.76 
源端口: 0 
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。 
-------------------------------------------------------------------------------------- 
以上信息是复制别人的，我的与这个类似，并且他在我的服务器上建立了一个用户，拷一些文件夹在我的电脑上，破坏我的oracle程序，导致本单位无法正常工作，重复的骚扰我，就是说今天我把这个用户删了，明天又建立了一个不同的WINDOWS用户，不知是木马还是别人实时侵入，我的服务器是windows2003SERVER,已打补丁，安装了防火墙，上有网站、oracle数据库，，我如何知道对方是通过哪种方式登录服务器的呢？怎么才能解决此问题。
非常非常想希望各位的帮忙！期待各位的帮助