Como habilitar o log do Event ID 7042 (motivo da parada do serviço)?

Question

Não sou especialista em Windows, mas talvez possa sugerir duas coisas para verificar, já que não há outras respostas.

Em primeiro lugar, verifique se o Windows 2022 segue uma abordagem semelhante ao monitoramento de serviço do Windows 2008, conforme descritoaqui(ouaqui, ouaqui- essas fontes são quase iguais). Acho que é altamente provável que o princípio da configuração de auditoria permaneça inalterado, então você pode tentar executar um comando dos artigos mencionados em ambos os servidores e verificar a saída:

SC SDSHOW <service_name>

A documentação do comando éaqui.

Se a saída for diferente, considere pegar a string do servidor A e aplicar a mesma DACL/SACL ao serviço no servidor B usando o SC SDSETcomando, conforme descrito no artigo1ou2. Certifique-se de entender o que está fazendo e verifique primeiro o DACL usandoConvertFrom-SddlString, por exemplo, comoDACL errado pode causar interrupção do serviço! Planeje e execute com cuidado, faça backup da DACL antiga antes de substituí-la.

Se isso não funcionar (os resultados são iguais), verifique talvez as opções de auditoria global em ambos os servidores. Pela mensagem de erro, é possível que este evento seja classificado como Successe a auditoria de eventos de sucesso pode não estar habilitada no servidor B. Portanto, verifique essas opções também em ambos os servidores executando

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Você deve ver Success(ou qualquer outra coisa) a auditoria configurada em ambos os servidores da mesma maneira. Caso contrário, você pode tentar aplicar as mesmas configurações para o servidor B que você tem em A usando o auditpol /setcomando - mais uma vez, da mesma forma que foi descrita no artigo1ou2. Por favor, note quepermitir a auditoria de eventos bem-sucedidos pode causar um aumento considerável na contagem de logs, portanto, monitore de perto o status do servidor após alterar as opções de auditoria.

Além disso, pode valer a pena verificar a GUI do GPO, conforme mencionadoaquieaqui:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Nunca tentei, mas talvez esta seção ainda esteja em vigor e haja algo interessante lá.

Answer 1

Não sou especialista em Windows, mas talvez possa sugerir duas coisas para verificar, já que não há outras respostas.

Em primeiro lugar, verifique se o Windows 2022 segue uma abordagem semelhante ao monitoramento de serviço do Windows 2008, conforme descritoaqui(ouaqui, ouaqui- essas fontes são quase iguais). Acho que é altamente provável que o princípio da configuração de auditoria permaneça inalterado, então você pode tentar executar um comando dos artigos mencionados em ambos os servidores e verificar a saída:

SC SDSHOW <service_name>

A documentação do comando éaqui.

Se a saída for diferente, considere pegar a string do servidor A e aplicar a mesma DACL/SACL ao serviço no servidor B usando o SC SDSETcomando, conforme descrito no artigo1ou2. Certifique-se de entender o que está fazendo e verifique primeiro o DACL usandoConvertFrom-SddlString, por exemplo, comoDACL errado pode causar interrupção do serviço! Planeje e execute com cuidado, faça backup da DACL antiga antes de substituí-la.

Se isso não funcionar (os resultados são iguais), verifique talvez as opções de auditoria global em ambos os servidores. Pela mensagem de erro, é possível que este evento seja classificado como Successe a auditoria de eventos de sucesso pode não estar habilitada no servidor B. Portanto, verifique essas opções também em ambos os servidores executando

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Você deve ver Success(ou qualquer outra coisa) a auditoria configurada em ambos os servidores da mesma maneira. Caso contrário, você pode tentar aplicar as mesmas configurações para o servidor B que você tem em A usando o auditpol /setcomando - mais uma vez, da mesma forma que foi descrita no artigo1ou2. Por favor, note quepermitir a auditoria de eventos bem-sucedidos pode causar um aumento considerável na contagem de logs, portanto, monitore de perto o status do servidor após alterar as opções de auditoria.

Além disso, pode valer a pena verificar a GUI do GPO, conforme mencionadoaquieaqui:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Nunca tentei, mas talvez esta seção ainda esteja em vigor e haja algo interessante lá.

Como habilitar o log do Event ID 7042 (motivo da parada do serviço)?

Responder1

informação relacionada