в Просмотр событий, Журнал Windows, Безопасность
каждую секунду создаются записи
SubjectUserSid S-1-0-0
  SubjectUserName -
  SubjectDomainName -
  SubjectLogonId 0x0
  TargetUserSid S-1-0-0
  TargetUserName JEANETTA
  TargetDomainName  
  Status 0xc000006d
  FailureReason %%2313
  SubStatus 0xc0000064
  LogonType 3
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM
  WorkstationName  
  TransmittedServices -
  LmPackageName -
  KeyLength 0
  ProcessId 0x0
  ProcessName -
  IpAddress -
  IpPort -

причем TargetUserName разнообразное

JEANETTA
ALEJANDRINA
ADMINISTRATOR
ADOLFO

Как понять откуда долбят?

https://serverfault.com/questions/861775/brute-force-attack-with-no-ip-to-trace
?

(0) Неважно, это может быть Бот, т.е. зараженный ПК, который даже не знает, что является частью системы атаки по подбору паролей :)

+ Меняйте пароли, почаще, для внешних админов :)
Имейте Админа внутреннего, у которого нет выхода и входа во внешке

(0) ну ок, получите айпи где-нибудь в Гваделупе. И что, интересно, вы с этой инфой будете делать дальше?

(4) Нужно узнать с какого компа ихней сети идет атака, чтобы найти и вылечить его от вирусов.

микротиком забаню

в сети нет никого кроме двух серверов 3-х вайфаев и 1 микротика

(1) а где делается

Turn on NTLM authentication auditing
?

(0) ip может меняться каждые несколько секунд, если надо

(8) в гугле забанили?