Tìm ra ai đã vô hiệu hóa dịch vụ Windows

29

Tôi đang thực hiện một số lỗi tìm kiếm và tôi đã phát hiện ra hai dịch vụ nên được đặt automaticthành disabled.

Cách tốt nhất để tìm ra ai đã làm điều này là gì? Đó có thể là một người nào đó từ công ty của tôi, hoặc có thể là một người khách hàng. Nó sẽ là đủ để xác định tài khoản người dùng.

Tôi đã có một cái nhìn trong Trình xem sự kiện Windows, nhưng thành thật mà nói, tôi không chắc mình đang tìm kiếm điều gì và có rất nhiều việc phải làm. Không có gì đã nhảy ra với tôi, nhưng tôi nghi ngờ rằng chỉ là tôi không biết những gì tôi đang tìm kiếm.

windows-server-2008  service  eventviewer 
Paul Brindley
nguồn
7
Cảm ơn những người đã cho tôi câu trả lời hữu ích. Tìm ra nó là ai. Cũng bật ra rằng họ tắt chúng vì một lý do tốt và sau khi vấn đề tôi đang điều tra diễn ra. Quay lại tập tin nhật ký chương trình để có thêm khách hàng tiềm năng!
Paul Brindley
4
Đối với những độc giả tương lai (vì điều này rõ ràng không phải là bạn, Paul): Chỉ cần nhận ra rằng việc đổ lỗi không phải là một việc hữu ích. Bạn nên sử dụng thông tin này để tìm ra người bạn có thể đặt câu hỏi và tìm hiểu chuyện gì đang xảy ra và có thể cho họ biết lý do tại sao đó là một ý tưởng tồi, nhưng tránh sử dụng nó như một cái cớ để đe dọa hoặc ngược đãi ai đó.
jpmc26
4
Trong trường hợp này, tôi muốn biết vì chúng tôi quản lý dịch vụ, nhưng máy chủ thuộc về khách hàng và vì vậy sẽ rất hữu ích nếu chúng tôi gặp rắc rối hoặc nếu nhóm máy chủ của khách hàng đã thay đổi điều gì đó. Ngoài ra, tôi muốn đảm bảo rằng nó ổn khi bật lại, sau tất cả tôi đã cho rằng đó là một lỗi, nhưng có thể có một lý do chính đáng tại sao dịch vụ đó nên dừng xử lý tệp. Cuối cùng, câu trả lời là có, họ đã di chuyển một cơ sở dữ liệu nên dịch vụ đã bị tắt trong khi cơ sở dữ liệu không có sẵn. Nhưng họ đã quên bật lại khi họ đã hoàn thành.
Paul Brindley

Câu trả lời:

39

Khi loại bắt đầu của một dịch vụ được thay đổi, một sự kiện được ghi lại trong nhật ký sự kiện hệ thống , với id 7040Trình quản lý điều khiển dịch vụ nguồn .

Người dùng đã thực hiện thao tác được hiển thị trong sự kiện (bị che khuất trong ảnh chụp màn hình bên dưới). nhập mô tả hình ảnh ở đây

Vì vậy, bạn phải tìm những sự kiện đó trong nhật ký sự kiện của bạn; Hy vọng bạn sẽ trực tiếp có tên người dùng.

Nếu đó là tên người dùng chung, chẳng hạn như "quản trị viên", thì đã đến lúc ngừng sử dụng tài khoản chung và bạn sẽ phải tương quan ngày / giờ của sự kiện với thông tin khác bạn có thể nhận được từ nhật ký khác (như: Microsoft -Windows-TerminalService-LocalSessionManager / Toán tử có thể cung cấp cho bạn IP nguồn của phiên máy tính để bàn từ xa)

JFL
nguồn
11

Trong Trình xem sự kiện, hãy tìm trong Nhật ký sự kiện "Nhật ký Windows" -> "Hệ thống" và bộ lọc cho Nguồn "Trình quản lý điều khiển dịch vụ" và ID sự kiện 7040. Tìm sự kiện có nội dung "Loại bắt đầu của dịch vụ đã được thay đổi từ loại bắt đầu ban đầu bị vô hiệu hóa "đối với dịch vụ mà bạn quan tâm. Khi bạn thấy điều đó," Người dùng "được liệt kê trong chi tiết bên dưới là người dùng đã thực hiện thay đổi đó.

Pak
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.