Cari tahu siapa yang menonaktifkan layanan Windows

29

Saya melakukan beberapa pencarian kesalahan, dan saya telah menemukan dua layanan yang seharusnya diatur untuk automaticdiatur disabled.

Apa cara terbaik untuk mengetahui siapa yang melakukan ini? Itu bisa seseorang dari perusahaan saya, atau bisa juga dari sisi klien. Itu akan cukup untuk menentukan akun pengguna.

Saya sudah melihat-lihat di Windows Event Viewer, tetapi, jujur ​​saja, saya tidak yakin apa yang saya cari, dan ada banyak yang harus dikerjakan. Tidak ada yang muncul pada saya, tetapi saya curiga hanya saja saya tidak tahu apa yang saya cari.

windows-server-2008 service eventviewer Paul Brindley
sumber
7
Terima kasih kepada mereka yang memberi saya jawaban yang membantu. Menemukan siapa itu. Juga ternyata mereka mematikannya karena alasan yang baik dan setelah masalah yang saya selidiki terjadi. Kembali ke file log program untuk lebih banyak petunjuk!
Paul Brindley
4
Untuk pembaca masa depan (karena ini jelas bukan Anda, Paul): Sadarilah bahwa menugaskan menyalahkan biasanya bukan hal yang berguna untuk dilakukan. Tidak masalah menggunakan info ini untuk mencari tahu siapa yang dapat Anda ajukan pertanyaan dan mencari tahu apa yang sedang terjadi dan mungkin memberi tahu mereka mengapa itu ide yang buruk, tetapi hindari menggunakan ini sebagai alasan untuk mengancam atau menganiaya seseorang.
jpmc26
4
Dalam hal ini saya ingin tahu karena kami mengelola layanan, tetapi server itu milik klien sehingga akan berguna untuk mengetahui apakah kami mengacaukannya, atau apakah tim server klien telah mengubah sesuatu. Selain itu, saya ingin memastikan bahwa tidak apa-apa untuk mengaktifkannya kembali, setelah semua saya menganggap itu kesalahan, tetapi mungkin ada alasan bagus mengapa layanan itu harus berhenti memproses file. Pada akhirnya jawabannya adalah ya, mereka memigrasikan basis data sehingga layanan dimatikan sementara basis data tidak tersedia. Tetapi mereka lupa untuk menyalakannya kembali ketika mereka selesai.
Paul Brindley

Jawaban:

39

Ketika jenis awal suatu layanan diubah, suatu peristiwa dicatat dalam log peristiwa sistem , dengan id 7040 dan sumber Service Control Manager .

Pengguna yang melakukan operasi ditampilkan dalam acara tersebut (dikaburkan dalam tangkapan layar di bawah). masukkan deskripsi gambar di sini

Jadi, Anda harus menemukan peristiwa itu di log acara Anda; semoga Anda akan langsung memiliki nama pengguna.

Jika itu adalah nama pengguna generik, seperti "administrator", maka sekarang saatnya untuk berhenti menggunakan akun generik, dan Anda harus mengkorelasikan tanggal / waktu acara dengan info lain yang bisa Anda dapatkan dari log lain (seperti: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational yang dapat memberi Anda IP sumber dari sesi desktop jarak jauh)

JFL
sumber
11

Di Peraga Peristiwa, lihat di log peristiwa "Windows Log" -> "Sistem", dan filter untuk Sumber "Manajer Kontrol Layanan" dan ID Peristiwa 7040. Temukan acara yang mengatakan "Jenis awal layanan diubah dari jenis awal yang asli untuk dinonaktifkan "untuk layanan yang Anda minati. Ketika Anda menemukan itu," Pengguna "yang tercantum dalam perincian di bawah ini adalah pengguna yang telah melakukan perubahan itu.

Pak
sumber