在 Windows Server 2016 中停止服务后,系统 Windows 事件日志中会出现一个事件ID 7036像这样的消息
(ServiceName) 服务进入 (StatusName) 状态。
但是在 Windows 10 中,系统 Windows 事件日志中没有出现“服务停止”事件(没有应用过滤器)。
有什么方法可以在 Windows 10 中打开这些消息吗?
答案1
看起来 Windows 桌面操作系统(从 8 开始)缺少 7036 事件。但是您可以监视进程终止:
- 启用审计策略来审计进程跟踪:
gpedit.msc->计算机配置->Windows 设置->安全设置->高级审核策略配置->系统审核策略 - 本地组->详细跟踪->审核进程终止。
- 检查安全事件日志中的事件 4689
或者你可以尝试此解决方案。
但在这种情况下,您不仅在服务启动或停止时会收到事件 4546,而且每当有东西试图访问它时(例如,当服务小程序打开时),您都会收到事件 4546。