Dowiedz się, kto wyłączył usługę Windows

29

Próbowałem znaleźć błędy i odkryłem dwie usługi, które powinny być automaticustawione na disabled.

Jaki jest najlepszy sposób, aby dowiedzieć się, kto to zrobił? Może to być ktoś z mojej firmy lub ktoś po stronie klienta. Wystarczy ustalić konto użytkownika.

Zajrzałem do podglądu zdarzeń Windows, ale szczerze mówiąc, nie jestem pewien, czego szukam i jest wiele do zrobienia. Nic mnie nie wyskoczyło, ale podejrzewam, że po prostu nie wiem, czego szukam.

windows-server-2008 service eventviewer Paul Brindley
źródło
7
Dzięki tym, które dały mi pomocne odpowiedzi. Dowiedz się, kto to był. Okazało się również, że wyłączyli je z ważnego powodu i po problemie, który badam, miał miejsce. Powrót do plików dziennika programu, aby uzyskać więcej potencjalnych klientów!
Paul Brindley,
4
Dla przyszłych czytelników (ponieważ to oczywiście nie jesteś ty, Paul): Po prostu zdaj sobie sprawę, że przypisywanie winy zwykle nie jest przydatne. Dobrze jest użyć tych informacji, aby dowiedzieć się, kto może zadawać pytania i dowiedzieć się, co się dzieje, i może powiedzieć im, dlaczego to zły pomysł, ale unikaj używania tego jako pretekstu, aby grozić lub źle traktować kogoś.
jpmc26
4
W tym przypadku chciałem wiedzieć, ponieważ zarządzamy usługą, ale serwer należy do klienta, więc dobrze byłoby wiedzieć, czy coś pomyliliśmy, czy zespół serwera klienta coś zmienił. Ponadto chciałem się upewnić, że ponowne włączenie jest w porządku, w końcu założyłem, że to pomyłka, ale mógł istnieć dobry powód, dla którego ta usługa powinna przestać przetwarzać pliki. Ostatecznie odpowiedź brzmiała „tak”, migrowali bazę danych, więc usługa została wyłączona, gdy baza danych była niedostępna. Ale zapomnieli włączyć go ponownie, kiedy skończyli.
Paul Brindley,

Odpowiedzi:

39

Po zmianie typu początkowego usługi zdarzenie jest rejestrowane w dzienniku zdarzeń systemowych o identyfikatorze 7040 i źródłowym menedżerze sterowania usługami .

Użytkownik, który wykonał operację, jest wyświetlany w zdarzeniu (zaciemniony na zrzucie ekranu poniżej). wprowadź opis zdjęcia tutaj

Musisz więc znaleźć te zdarzenia w swoich dziennikach zdarzeń; mam nadzieję, że bezpośrednio będziesz miał nazwę użytkownika.

Jeśli jest to ogólna nazwa użytkownika, taka jak „administrator”, nadszedł czas, aby przestać używać konta ogólnego, a będziesz musiał skorelować datę / godzinę zdarzenia z innymi informacjami, które możesz uzyskać z innego dziennika (np .: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, który może podać źródłowy adres IP sesji pulpitu zdalnego)

JFL
źródło
11

W Podglądzie zdarzeń spójrz na dzienniki zdarzeń „Windows Logs” -> „System” i odfiltruj źródło „Service Control Manager” i identyfikator zdarzenia 7040. Znajdź zdarzenie z napisem „Typ uruchomienia usługi został zmieniony z pierwotnego typu uruchomienia wyłączone ”dla usługi, którą jesteś zainteresowany. Gdy to zauważysz,„ Użytkownik ”wymieniony w szczegółach poniżej to użytkownik, który dokonał tej zmiany.

Pak
źródło