Wie aktiviere ich die Protokollierung der Ereignis-ID 7042 (Grund für Dienststopp)?

Question

Ich bin kein Windows-Experte, aber da es keine anderen Antworten gibt, kann ich vielleicht zwei Dinge zur Überprüfung vorschlagen.

Überprüfen Sie zunächst, ob Windows 2022 dem gleichen Ansatz zur Dienstüberwachung wie Windows 2008 folgt, wie beschriebenHier(oderHier, oderHier- diese Quellen sind fast identisch). Ich denke, dass das Prinzip der Audit-Konfiguration höchstwahrscheinlich unverändert bleibt. Sie können also versuchen, auf beiden Servern einen Befehl aus den genannten Artikeln auszuführen und die Ausgabe zu überprüfen:

SC SDSHOW <service_name>

Die Befehlsdokumentation istHier.

Wenn die Ausgabe unterschiedlich ist, können Sie die Zeichenfolge von Server A übernehmen und dieselbe DACL/SACL mit dem SC SDSETBefehl auf den Dienst auf Server B anwenden, wie im Artikel beschrieben.1oder2. Bitte stellen Sie sicher, dass Sie verstehen, was Sie tun, und überprüfen Sie DACL zuerst mitKonvertieren von-SddlString, zum Beispiel alsFalsche DACL kann zu Dienstausfällen führen! Planen und führen Sie mit Vorsicht aus. Sichern Sie die alte DACL, bevor Sie sie überschreiben.

Wenn das nicht funktioniert (Ausgaben sind gleich), überprüfen Sie möglicherweise die globalen Überwachungsoptionen auf beiden Servern. Aus der Fehlermeldung geht hervor, dass dieses Ereignis möglicherweise als klassifiziert ist Successund die Überwachung erfolgreicher Ereignisse auf Server B möglicherweise nicht aktiviert ist. Überprüfen Sie daher auch diese Optionen auf beiden Servern, indem Sie Folgendes ausführen:

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Sie sollten sehen, dass Successaudit auf beiden Servern auf die gleiche Weise konfiguriert ist (oder was auch immer). Wenn nicht, können Sie versuchen, mit dem Befehl dieselben Einstellungen für Server B anzuwenden, die Sie auf A haben auditpol /set- noch einmal, auf die gleiche Weise, wie es im Artikel beschrieben wurde1oder2. Bitte beachte, dassDas Aktivieren der Überwachung erfolgreicher Ereignisse kann zu einer erheblichen Erhöhung der Protokollanzahl führen., überwachen Sie den Serverstatus daher genau, nachdem Sie die Überwachungsoptionen geändert haben.

Außerdem könnte es sich lohnen, GPO GUI zu überprüfen, wie erwähntHierUndHier:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Ich habe es selbst nie ausprobiert, aber vielleicht existiert dieser Abschnitt noch und es ist dort etwas Interessantes.

Answer 1

Ich bin kein Windows-Experte, aber da es keine anderen Antworten gibt, kann ich vielleicht zwei Dinge zur Überprüfung vorschlagen.

Überprüfen Sie zunächst, ob Windows 2022 dem gleichen Ansatz zur Dienstüberwachung wie Windows 2008 folgt, wie beschriebenHier(oderHier, oderHier- diese Quellen sind fast identisch). Ich denke, dass das Prinzip der Audit-Konfiguration höchstwahrscheinlich unverändert bleibt. Sie können also versuchen, auf beiden Servern einen Befehl aus den genannten Artikeln auszuführen und die Ausgabe zu überprüfen:

SC SDSHOW <service_name>

Die Befehlsdokumentation istHier.

Wenn die Ausgabe unterschiedlich ist, können Sie die Zeichenfolge von Server A übernehmen und dieselbe DACL/SACL mit dem SC SDSETBefehl auf den Dienst auf Server B anwenden, wie im Artikel beschrieben.1oder2. Bitte stellen Sie sicher, dass Sie verstehen, was Sie tun, und überprüfen Sie DACL zuerst mitKonvertieren von-SddlString, zum Beispiel alsFalsche DACL kann zu Dienstausfällen führen! Planen und führen Sie mit Vorsicht aus. Sichern Sie die alte DACL, bevor Sie sie überschreiben.

Wenn das nicht funktioniert (Ausgaben sind gleich), überprüfen Sie möglicherweise die globalen Überwachungsoptionen auf beiden Servern. Aus der Fehlermeldung geht hervor, dass dieses Ereignis möglicherweise als klassifiziert ist Successund die Überwachung erfolgreicher Ereignisse auf Server B möglicherweise nicht aktiviert ist. Überprüfen Sie daher auch diese Optionen auf beiden Servern, indem Sie Folgendes ausführen:

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Sie sollten sehen, dass Successaudit auf beiden Servern auf die gleiche Weise konfiguriert ist (oder was auch immer). Wenn nicht, können Sie versuchen, mit dem Befehl dieselben Einstellungen für Server B anzuwenden, die Sie auf A haben auditpol /set- noch einmal, auf die gleiche Weise, wie es im Artikel beschrieben wurde1oder2. Bitte beachte, dassDas Aktivieren der Überwachung erfolgreicher Ereignisse kann zu einer erheblichen Erhöhung der Protokollanzahl führen., überwachen Sie den Serverstatus daher genau, nachdem Sie die Überwachungsoptionen geändert haben.

Außerdem könnte es sich lohnen, GPO GUI zu überprüfen, wie erwähntHierUndHier:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Ich habe es selbst nie ausprobiert, aber vielleicht existiert dieser Abschnitt noch und es ist dort etwas Interessantes.

Wie aktiviere ich die Protokollierung der Ereignis-ID 7042 (Grund für Dienststopp)?

Antwort1

verwandte Informationen