%20%E3%81%AE%E3%83%AD%E3%82%B0%E8%A8%98%E9%8C%B2%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AF%3F.png)
ID 7042 のイベントWindows Server 2022 で 2 つの特定のサービス (カスタム アプリ) が停止すると、イベント ログに記録されます。問題は、1 台の Windows Server がこれらのイベントをログに記録していないことです。7042 イベントのログ記録を有効にするオプションまたはポリシーはありますか?
答え1
私は Windows の専門家ではありませんが、他に答えがないので、確認すべき 2 つの点を提案できるかもしれません。
まず、Windows 2022がWindows 2008と同様のサービス監視アプローチに従っているかどうかを確認してください。ここ(またはここ、 またはここ- これらのソースはほぼ同じです)。監査構成の原則は変更されない可能性が高いと思うので、両方のサーバーで前述の記事のコマンドを実行して出力を確認してください。
SC SDSHOW <service_name>
コマンドドキュメントはここ。
出力が異なる場合は、サーバーAから文字列を取得し、SC SDSET記事で説明されているコマンドを使用してサーバーBのサービスに同じDACL/SACLを適用することを検討してください。1または2自分が何をしているのか理解し、まずDACLをチェックしてください。ConvertFrom-SddlString例えば、間違ったDACLはサービス停止を引き起こす可能性がある! 慎重に計画および実行し、上書きする前に古い DACL をバックアップしてください。
それが機能しない場合(出力が同じ場合)、両方のサーバーのグローバル監査オプションを確認してください。エラーメッセージから、このイベントは として分類されSuccess、成功イベントの監査がサーバーBで有効になっていない可能性があります。したがって、両方のサーバーでこれらのオプションも確認するには、次のコマンドを実行します。
auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"
Success両方のサーバーで監査が同じように構成されているはずです。そうでない場合は、コマンドを使用して、サーバーAと同じ設定をサーバーBに適用してみてください。これもauditpol /set、記事で説明したのと同じ方法です。1または2。 その点に注意してください成功したイベントの監査を有効にすると、ログ数が大幅に増加する可能性があります。したがって、監査オプションを変更した後は、サーバーの状態を注意深く監視してください。
また、前述のようにGPO GUIを確認する価値があるかもしれません。ここそしてここ:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services
自分で試したことはないのですが、このセクションはまだ残っていて、何か興味深いものがあるのかもしれません。