Узнайте, кто отключил службу Windows

29

Я занимался поиском неисправностей и обнаружил две службы, которые должны быть automaticнастроены на disabled.

Каков наилучший способ узнать, кто это сделал? Это может быть кто-то из моей компании или кто-то на стороне клиента. Было бы достаточно определить учетную запись пользователя.

Я посмотрел в средстве просмотра событий Windows, но, честно говоря, я не уверен, что я ищу, и есть над чем поработать. Ничто не выскочило на меня, но я подозреваю, что просто я не знаю, что я ищу.

windows-server-2008 service eventviewer Пол Бриндли
источник
7
Спасибо тем, кто дал мне полезные ответы. Выяснил, кто это был. Также оказалось, что они отключили их по уважительной причине и после того, как проблема, которую я расследую, имела место. Вернуться к файлам журнала программы для большего количества ведет!
Пол Бриндли
4
Для будущих читателей (поскольку это, очевидно, не вы, Пол): просто поймите, что назначение вины, как правило, бесполезно. Хорошо использовать эту информацию, чтобы узнать, кому вы можете задавать вопросы, узнать, что происходит, и, возможно, сказать им, почему это плохая идея, но избегайте использования этого в качестве предлога, чтобы угрожать или плохо обращаться с кем-либо.
jpmc26
4
В этом случае я хотел знать, потому что мы управляем сервисом, но сервер принадлежит клиенту, и поэтому было бы полезно узнать, не ошиблись ли мы, или команда сервера клиента что-то изменила. Кроме того, я хотел убедиться, что можно включить его снова, после всего, что я предположил, что это ошибка, но, возможно, была веская причина, по которой этот сервис должен прекратить обработку файлов. В конце концов ответ был «да», они переносили базу данных, поэтому служба была отключена, когда база данных была недоступна. Но они забыли включить его, когда закончили.
Пол Бриндли

Ответы:

39

Когда тип запуска службы изменяется, событие регистрируется в журнале системных событий с идентификатором 7040 и исходным диспетчером управления службами .

Пользователь, который выполнил операцию, отображается в событии (обфусцировано на снимке экрана ниже). введите описание изображения здесь

Таким образом, вы должны найти эти события в журналах событий; Надеюсь, у вас будет имя пользователя.

Если это общее имя пользователя, такое как «администратор», то пора прекратить использовать общую учетную запись, и вам придется соотносить дату / время события с другой информацией, которую вы можете получить из другого журнала (например: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, который может дать вам исходный IP-адрес сеанса удаленного рабочего стола)

JFL
источник
11

В средстве просмотра событий просмотрите журнал событий «Журналы Windows» -> «Система» и отфильтруйте источник «Диспетчер управления службами» и идентификатор события 7040. Найдите событие, сообщающее «Тип запуска службы был изменен с исходного типа запуска». отключено "для интересующей вас услуги . Когда вы обнаружите, что" Пользователь ", указанный в приведенных ниже деталях, является пользователем, который внес это изменение.

Пак
источник