Descubra quem desativou um serviço do Windows

29

Eu estava descobrindo falhas e descobri dois serviços que deveriam ser automaticconfigurados para disabled.

Qual é a melhor maneira de descobrir quem fez isso? Pode ser alguém da minha empresa ou alguém do lado do cliente. Seria o suficiente para determinar a conta do usuário.

Eu dei uma olhada no Visualizador de Eventos do Windows, mas, para ser sincero, não tenho certeza do que estou procurando e há muito o que trabalhar. Nada saltou para mim, mas suspeito que não sei o que estou procurando.

windows-server-2008 service eventviewer Paul Brindley
fonte
7
Obrigado àqueles que me deram respostas úteis. Descobriu quem era. Também aconteceu que eles foram desativados por um bom motivo e após o problema que estou investigando. Voltar aos arquivos de log do programa para obter mais leads!
Paul Brindley
4
Para futuros leitores (já que obviamente não é você, Paul): Apenas perceba que atribuir culpa não costuma ser uma coisa útil a se fazer. É bom usar essas informações para descobrir quem você pode fazer perguntas, descobrir o que está acontecendo e talvez dizer-lhes por que é uma má ideia, mas evite usá-las como desculpa para ameaçar ou maltratar alguém.
jpmc26
4
Nesse caso, eu queria saber porque gerenciamos o serviço, mas o servidor pertence ao cliente e, portanto, teria sido útil saber se erramos ou se a equipe do servidor do cliente mudou alguma coisa. Além disso, eu queria ter certeza de que não havia problema em ligá-lo novamente, depois de tudo que eu havia assumido que era um erro, mas poderia haver um bom motivo para esse serviço parar de processar arquivos. No final, a resposta foi afirmativa: eles estavam migrando um banco de dados, de modo que o serviço foi desativado enquanto o banco de dados não estava disponível. Mas eles esqueceram de ligá-lo novamente quando terminaram.
Paul Brindley

Respostas:

39

Quando o tipo de início de um serviço é alterado, um evento é registrado no log de eventos do sistema , com o ID 7040 e o Service Control Manager de origem .

O usuário que executou a operação é exibido no evento (ofuscado na captura de tela abaixo). insira a descrição da imagem aqui

Então você tem que encontrar esses eventos em seus logs de eventos; espero que você tenha diretamente o nome de usuário.

Se for um nome de usuário genérico, como "administrador", é hora de parar de usar uma conta genérica e você precisará correlacionar a data / hora do evento com outras informações que você pode obter de outro log (como: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, que pode fornecer o IP de origem de uma sessão de área de trabalho remota)

JFL
fonte
11

No Visualizador de Eventos, procure no "Logs do Windows" -> "Sistema" e filtre o "Service Control Manager" de Origem e o ID do Evento 7040. Localize o evento dizendo "O tipo de início do serviço foi alterado do tipo de início original desativado "para o serviço em que você está interessado. Quando você descobre isso, o" Usuário "listado nos detalhes abaixo é o usuário que fez essa alteração.

Pak
fonte