我尝试在 Windows 服务(例如 Windows Update)停止时发送陷阱。
在 evntwin 中,我尝试添加所有具有 Microsoft-Windows-WindowsUpdateClient 来源的事件,但停止/重新启动服务后我没有收到任何陷阱,即使我从 MIB 浏览器发送测试陷阱它也能起作用。
我怎样才能找到正确的事件以及我该怎么做才能找到问题?
答案1
您要查找的事件来自源“服务控制管理器”。查找 7036(启动/停止)之类的事件,并从内容(又称“消息”)中筛选您的服务。
不可能只在一种特殊情况下发送一个特殊陷阱,而无需手动触发。如果您想在不手动触发的情况下执行此操作,则必须在 Evntwin 之前解析事件内容或在目标端过滤事件。