Finden Sie heraus, wer einen Windows-Dienst deaktiviert hat

29

Ich war einige Fehlersuche zu tun, und ich habe zwei Dienste entdeckt , die eingestellt werden sollen , um automaticzu gesetzt wurde disabled.

Was ist der beste Weg, um herauszufinden, wer das getan hat? Es könnte jemand aus meiner Firma sein, oder es könnte jemand auf der Kundenseite sein. Es würde ausreichen, das Benutzerkonto zu ermitteln.

Ich habe einen Blick in die Windows-Ereignisanzeige geworfen, bin mir aber ehrlich gesagt nicht sicher, wonach ich suche, und es gibt eine Menge zu bearbeiten. Es ist mir nichts aufgesprungen, aber ich vermute nur, dass ich nicht weiß, wonach ich suche.

Paul Brindley
quelle
7
Vielen Dank an diejenigen, die mir hilfreiche Antworten gegeben haben. Finden Sie heraus, wer es war. Es stellte sich auch heraus, dass sie sie aus gutem Grund ausgeschaltet haben und nachdem das von mir untersuchte Problem aufgetreten ist. Zurück zu den Programmprotokolldateien für mehr Leads!
Paul Brindley
4
Für zukünftige Leser (da dies offensichtlich nicht Sie sind, Paul): Stellen Sie nur fest, dass Schuldzuweisungen normalerweise nicht sinnvoll sind. Es ist in Ordnung, diese Informationen zu verwenden, um herauszufinden, wem Sie Fragen stellen können, um herauszufinden, was los ist, und ihnen möglicherweise zu erklären, warum dies eine schlechte Idee ist.
jpmc26
4
In diesem Fall wollte ich wissen, dass wir den Service verwalten, aber der Server zum Client gehört. Es wäre also hilfreich zu wissen, ob wir Fehler gemacht haben oder ob das Serverteam des Clients etwas geändert hat. Außerdem wollte ich sicherstellen, dass es in Ordnung ist, es wieder einzuschalten, nachdem ich angenommen hatte, dass es ein Fehler war, aber es könnte einen guten Grund gegeben haben, warum dieser Dienst die Verarbeitung von Dateien einstellen sollte. Am Ende war die Antwort ja, sie migrierten eine Datenbank, sodass der Dienst deaktiviert wurde, während die Datenbank nicht verfügbar war. Aber sie vergaßen, es wieder einzuschalten, als sie fertig waren.
Paul Brindley

Antworten:

39

Wenn der Starttyp eines Dienstes geändert wird, wird ein Ereignis mit der ID 7040 und dem Quelldienststeuerungs-Manager im Systemereignisprotokoll aufgezeichnet .

Der Benutzer, der den Vorgang ausgeführt hat, wird im Ereignis angezeigt (im folgenden Screenshot verschleiert). Bildbeschreibung hier eingeben

Daher müssen Sie diese Ereignisse in Ihren Ereignisprotokollen suchen. Hoffentlich haben Sie direkt den Benutzernamen.

Wenn es sich um einen allgemeinen Benutzernamen handelt, z. B. "Administrator", ist es an der Zeit, die Verwendung eines allgemeinen Kontos zu beenden und Datum und Uhrzeit des Ereignisses mit anderen Informationen zu korrelieren, die Sie aus einem anderen Protokoll abrufen können (z. B. Microsoft) (Windows-TerminalServices-LocalSessionManager / Operational, mit dem Sie die Quell-IP einer Remotedesktopsitzung ermitteln können)

JFL
quelle
11

Suchen Sie in der Ereignisanzeige im Ereignisprotokoll "Windows-Protokolle" -> "System" nach dem Quellcode "Dienststeuerungs-Manager" und der Ereignis-ID 7040. Suchen Sie nach dem Ereignis "Der Starttyp des Dienstes wurde vom ursprünglichen Starttyp geändert zu deaktiviert "für den Dienst, an dem Sie interessiert sind. Wenn Sie dies feststellen, ist der in den folgenden Details aufgeführte" Benutzer "der Benutzer, der diese Änderung vorgenommen hat.

Pak
quelle