如何启用事件 ID 7042(服务停止原因)的日志记录?

如何启用事件 ID 7042(服务停止原因)的日志记录?

ID 为 7042 的事件当两个特定服务(自定义应用程序)在 Windows Server 2022 上停止时,会记录在事件日志中。问题是:一台 Windows Server 没有记录这些事件。是否有选项或策略可以启用 7042 事件的日志记录?

答案1

我不是 Windows 专家,但也许我可以建议检查两件事,因为没有其他答案。

首先,请检查 Windows 2022 是否遵循与 Windows 2008 类似的服务监控方法,如所述这里(或者这里, 或者这里- 这些来源几乎相同)。我认为审计配置原则很可能保持不变,因此您可以尝试在两台服务器上运行上述文章中的命令并检查输出:

SC SDSHOW <service_name>

命令文档是这里

如果输出不同,您可以考虑从服务器 A 获取字符串,并使用SC SDSET命令将相同的 DACL/SACL 应用于服务器 B 上的服务,如文章中所述1或者2。请确保您了解自己在做什么,并确保先使用以下方法检查 DACL:转换自-SddlString例如错误的 DACL 可能会导致服务中断!谨慎计划和执行,在覆盖旧 DACL 之前请先备份它。

如果不起作用(输出相同),请检查两台服务器上的全局审计选项。从错误消息来看,此事件可能被归类为Success,并且服务器 B 上可能未启用成功事件审计。因此,请在两台服务器上运行以下命令检查这些选项:

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

您应该看到Success两台服务器上以相同的方式配置了审计(或其他)。如果没有,您可以尝试使用命令将与 A 相同的设置应用于服务器 B auditpol /set- 再次,以文章中描述的方式进行1或者2.请注意启用对成功事件的审计可能会导致日志数量大幅增加,因此在更改审计选项后请密切监视服务器状态。

另外,可能值得检查一下 GPO GUI,如上所述这里这里

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

我自己从来没有尝试过,但也许这个部分仍然存在,并且有一些有趣的东西在那里。

相关内容