На сервере лежит база 1С8 файловая. В определенное время (в конце рабочего дня), у 1-2 из 8 пользователей происходит отключение от сервера и соответственно зависает 1С. Но, что меня интересует, в Event Viewer-Security в это время появляется "миллион" записей (примерно 140 записей на 1 секунду) с процессами 538\540 (Logon\Logoff) от пользователя, который "завис". Насколько это опасно, стоит ли бить "тревогу" или это попытки 1С (к примеру) востановить соединение и записи появляются из-за этого?

Windows Server2k3, Клиентские машины Windows7.

Содержание событий:
Success Audit <Дата> <Время> Security Logon/Logoff 540 User <ComputerName>
Successful Network Logon:
User Name: <User>
Domain: <домен>
Logon ID: (0x0,0x2B7AED)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {********-****-****-****-***********}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: ***.***.***.***
Source Port: 0


Success Audit <Дата> <Время> Security Logon/Logoff 538 User <ComputerName>
User Logoff:
User Name: <User>
Domain: <домен>
Logon ID: (0x0,0x2B7ADC)
Logon Type: 3

Адрес и пользователь соответствуют реальному. Запланированных заданий на это время на сервере никаких нету. Пользователи разные в разные дни (как уже писал всего 8, обычно 1 зависает и с него появляются события, бывало и 2). В сети сбоев нету, когда 1 вылетает остальные нормально работют. Время всегда с 16-50 до 17-15. С чем могут быть связаны "вылеты" не могу пока обнаружить.

Тема для меня до сих пор актуальна. Можно получить хоть какой-то комментарий? Или уж скажите чт оуказал не так, что тема игнорируется