尝试审核哪个 AD 用户实际重新启动了特定服务。
服务 (MyService) 使用服务帐户运行并获取对不同资源的访问权限。
我想审核我的用户或任何实际人类用户何时手动启动/停止/重新启动服务,并能够在 EventViewer 中的“事件”中获取该信息,以便稍后设置警报或过滤视图,查看谁以及何时修改了服务运行状态。
我发现这些说明看起来很详细:
https://support.qlik.com/articles/000058520
在服务器(Windows Server 2019)本身上(即不通过 GPO):
MMC > 安全模板 > C:\Users$USER\Documents\Security\Templates
1.1 “新模板” > “MyServiceSecurityTemplate”
1.2 “MyServiceSecurityTemplate” > “系统服务” > “MyService” > “属性”
1.3
“在模板中定义此策略设置” = 选中
“选择服务启动模式:自动”
^ 即服务应始终随服务器启动,因此我们只需控制服务如何启动,或者它是否与它记录的服务启动事件相关?
即它仅在服务自动启动时记录,而不在服务手动停止/启动/重新启动时记录?
1.4 “编辑安全” > “高级” > “审核” > “添加” >
“主体:”
“类型:成功”
“基本权限:启动、停止和暂停”
“确定” > “应用” > “确定” > “应用” > “确定” > “确定” > 提示:
“安全策略。您即将更改此服务的安全设置...是否要继续?” >
“是” > “应用” > “确定”本地组策略编辑器 > 计算机配置 > Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 - 本地组策略对象 > 对象访问:
“审核句柄操作”和“审核其他对象访问事件”>“属性”
“配置要审核的选定事件:
审核所有成功”>“应用”>“确定”事件查看器 > Windows 日志 > 安全:
筛选 EventID 4656
未找到符合该过滤器的事件....
这是为什么?