Windows hizmetini kimin devre dışı bıraktığını öğrenin

29

Bazı teşhisini yapıyordu ve ben ayarlanmalıdır iki hizmet keşfettim automaticiçin ayarlanmış disabled.

Bunu kimin yaptığını bulmanın en iyi yolu nedir? Şirketimden biri olabilir ya da müşteri tarafı biri olabilir. Kullanıcı hesabını belirlemek yeterli olacaktır.

Windows Olay Görüntüleyicisi’ne bir göz attım, ancak dürüst olmak gerekirse, ne aradığımdan emin değilim ve üzerinde çalışacak çok şey var. Bana hiçbir şey atlamadı, ama sadece ne aradığımı bilmediğimden şüpheleniyorum.

windows-server-2008  service  eventviewer 
Paul Brindley
kaynak
7
Bana faydalı cevaplar verenlere teşekkürler. Kim olduğunu öğrendim. Ayrıca onları iyi bir sebepten dolayı kapattıkları ve araştırdığım konunun ardından yer aldıkları ortaya çıktı. Daha fazla müşteri adayı için günlük dosyalarına geri dönün!
Paul Brindley
4
Gelecekteki okuyucular için (çünkü bu açıkça siz Paul değilsiniz): Suçu atamanın genellikle yapılacak faydalı bir şey olmadığını anlayın. Bu bilgileri kime soru sorabileceğinizi ve neler olup bittiğini öğrenmek ve belki de bunun neden kötü bir fikir olduğunu söylemek için kullanmanız iyidir, ancak bunu birisini tehdit etmek veya kötü muamele etmek için bir bahane olarak kullanmaktan kaçının.
jpmc26
4
Bu durumda, hizmeti yönettiğimiz için bilmek istedim, ancak sunucu müşteriye aittir ve bu yüzden ayrıldığımızı mı yoksa müşterinin sunucu ekibinin bir şeyleri değiştirip değiştirmediğini bilmek faydalı olurdu. Ayrıca, tekrar açmamın doğru olduğundan emin olmak istedim, sonuçta bunun bir hata olduğunu varsaydım, ancak bu hizmetin dosyaları işlemeyi durdurması için iyi bir neden olabilirdi. Sonunda cevap evet idi, bir veritabanını taşıyorlardı, bu yüzden veritabanı kullanılamazken hizmet kapatıldı. Ancak bittiğinde geri açmayı unuttular.
Paul Brindley

Yanıtlar:

39

Bir servisin başlangıç ​​tipi değiştiğinde, sistem olay günlüğüne id 7040 ve kaynak Servis Kontrol Yöneticisi ile bir olay kaydedilir .

İşlemi gerçekleştiren kullanıcı etkinlikte görüntülenir (aşağıdaki ekran görüntüsünde karışık). görüntü tanımını buraya girin

Bu olayları olay kayıtlarınızda bulmalısınız; umarım doğrudan kullanıcı adına sahip olursunuz.

"Yönetici" gibi genel bir kullanıcı adıysa, genel hesabı kullanmayı bırakmanın zamanıdır ve etkinliğin tarihini / saatini diğer günlükten alabileceğiniz diğer bilgilerle ilişkilendirmeniz gerekir (örneğin: Microsoft -Windows-TerminalServices-LocalSessionManager / Operation (Uzak masaüstü oturumunun kaynak IP'sini verebilir)

JFL
kaynak
11

Olay Görüntüleyici, "Windows Günlükleri" de bakmak ise - Kaynak "Hizmet Denetimi Yöneticisi" ve Olay Kimliği 7040. "başlangıç türünü diyerek olayı bul için> "Sistem" Olay günlüğü ve filtre hizmeti değiştirildi orijinal başlangıç türü "devre dışı bırakmak için" ilgilendiğiniz servis için . Bunu bulduğunuzda, aşağıdaki ayrıntılarda listelenen "Kullanıcı" bu değişikliği yapan kullanıcıdır.

Pak
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.