ค้นหาผู้ที่ปิดใช้งานบริการ Windows

29

ผมทำบางค้นหาความผิดและฉันได้ค้นพบสองบริการซึ่งควรจะกำหนดให้ได้รับการตั้งค่าให้ automaticdisabled

วิธีที่ดีที่สุดในการค้นหาว่าใครทำสิ่งนี้ อาจเป็นใครก็ได้จาก บริษัท ของฉันหรืออาจเป็นลูกค้าคนหนึ่งก็ได้ มันจะเพียงพอที่จะกำหนดบัญชีผู้ใช้

ฉันได้ดูใน Windows Event Viewer แล้ว แต่จริงๆแล้วฉันไม่แน่ใจว่าฉันกำลังมองหาอะไรและมีอะไรให้ทำมากมาย ไม่มีสิ่งใดที่กระโดดออกมาจากฉัน แต่ฉันสงสัยว่ามันเป็นเพียงที่ฉันไม่รู้ว่าฉันกำลังมองหาอะไร

windows-server-2008  service  eventviewer 
Paul Brindley
แหล่งที่มา
7
ขอบคุณผู้ที่ให้คำตอบที่เป็นประโยชน์แก่ฉัน พบว่ามันเป็นใคร กลับกลายเป็นว่าพวกเขาปิดพวกเขาด้วยเหตุผลที่ดีและหลังจากปัญหาที่ฉันกำลังตรวจสอบเกิดขึ้น กลับไปที่ไฟล์บันทึกโปรแกรมเพื่อโอกาสในการขายมากขึ้น!
พอล Brindley
4
สำหรับผู้อ่านในอนาคต (เนื่องจากเห็นได้ชัดว่าไม่ใช่คุณพอล): เพียงตระหนักว่าการกำหนดความผิดไม่ใช่สิ่งที่มีประโยชน์ คุณควรใช้ข้อมูลนี้เพื่อค้นหาว่าคุณสามารถถามคำถามและค้นหาสิ่งที่เกิดขึ้นและอาจบอกได้ว่าทำไมมันถึงเป็นความคิดที่ไม่ดี แต่หลีกเลี่ยงการใช้สิ่งนี้เป็นข้ออ้างในการข่มขู่หรือทำร้ายผู้อื่น
jpmc26
4
ในกรณีนี้ฉันต้องการทราบเพราะเราจัดการบริการ แต่เซิร์ฟเวอร์เป็นของลูกค้าและดังนั้นมันจะมีประโยชน์ที่จะทราบว่าเราทำผิดพลาดหรือหากทีมเซิร์ฟเวอร์ของลูกค้าเปลี่ยนอะไรบางอย่าง นอกจากนี้ฉันต้องการให้แน่ใจว่ามันก็โอเคที่จะเปิดมันอีกครั้งหลังจากทั้งหมดที่ฉันคิดว่ามันเป็นความผิดพลาด แต่อาจมีเหตุผลที่ดีที่บริการนั้นควรหยุดการประมวลผลไฟล์ ในที่สุดคำตอบคือใช่พวกเขากำลังย้ายฐานข้อมูลเพื่อให้บริการถูกปิดในขณะที่ฐานข้อมูลไม่พร้อมใช้งาน แต่พวกเขาลืมที่จะเปิดมันอีกครั้งเมื่อพวกเขาเสร็จสิ้น
พอล Brindley

คำตอบ:

39

เมื่อประเภทการเริ่มต้นของการบริการมีการเปลี่ยนแปลงเหตุการณ์ที่ถูกบันทึกไว้ในบันทึกเหตุการณ์ของระบบ , มี id 7040และแหล่งที่มาจัดการควบคุมบริการ

ผู้ใช้ที่ทำการดำเนินการจะปรากฏขึ้นในเหตุการณ์ (obfuscated ในภาพหน้าจอด้านล่าง) ป้อนคำอธิบายรูปภาพที่นี่

ดังนั้นคุณต้องค้นหากิจกรรมเหล่านั้นในบันทึกเหตุการณ์ของคุณ หวังว่าคุณจะมีชื่อผู้ใช้โดยตรง

หากเป็นชื่อผู้ใช้ทั่วไปเช่น "ผู้ดูแลระบบ" ถึงเวลาที่จะหยุดการใช้บัญชีทั่วไปและคุณจะต้องเชื่อมโยงวันที่ / เวลาของกิจกรรมกับข้อมูลอื่น ๆ ที่คุณสามารถได้รับจากบันทึกอื่น ๆ (เช่น: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational ซึ่งสามารถให้แหล่ง IP ของเซสชันเดสก์ท็อประยะไกลแก่คุณได้)

JFL
แหล่งที่มา
11

ใน Event Viewer ให้ดูในบันทึกเหตุการณ์ "Windows Logs" -> "System" และกรองแหล่ง "Service Control Manager" และรหัสเหตุการณ์ 7040 ค้นหาเหตุการณ์ที่ระบุว่า "ประเภทเริ่มต้นของบริการเปลี่ยนจากประเภทเริ่มต้นเริ่มต้นเพื่อปิดใช้งาน "สำหรับบริการที่คุณสนใจเมื่อคุณพบว่า" ผู้ใช้ "ที่ระบุไว้ในรายละเอียดด้านล่างคือผู้ใช้ที่ทำการเปลี่ยนแปลงดังกล่าว

ปาก
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.