大量540 538 552 680事件是怎么回事
如题，刚装好的2003系统，挂在公网，已安装IIS，文件及打印机共享已关闭，目前上面没有挂任何网站，端口目前只开了FTP/远程桌面/360杀毒等几个有限的端口，但系统日志却记录了大量的登录注销记录，这些记录平均20-30分钟一次，日志如下：
用户注销:
用户名:IUSR_ADMINISTRATOR
域:ADMINISTRATOR
登录 ID:(0x0,0x1229340)
登录类型:8

尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_ADMINISTRATOR
源工作站: ADMINISTRATOR
错误代码: 0x0

使用明确凭据的登录尝试:
登录的用户:
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
登录 GUID:-
凭据被使用的用户:
目标用户名:IUSR_ADMINISTRATOR
目标域:ADMINISTRATOR
目标登录 GUID: -

目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:1008
源网络地址:-
源端口:-

成功的网络登录:
用户名:IUSR_ADMINISTRATOR
域:ADMINISTRATOR
登录 ID:(0x0,0x122D5E0)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:ADMINISTRATOR
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 1008
传递服务: -
源网络地址:-
源端口:-
麻烦懂2003系统安全的帮我看一下，这些日志到底是系统自动产生的还是因为有人入侵产生的。

[解决办法]
还是不要挂在公网上，公网上时刻都有人在不停的扫描

即使需要挂在外网，也需要先开防火墙的