%3F.png)
Событие с идентификатором 7042регистрируется в журнале событий, когда две определенные службы (пользовательские приложения) останавливаются на Windows Server 2022. Проблема: один Windows Server не регистрирует эти события. Есть ли опция или политика для включения регистрации события 7042?
решение1
Я не эксперт по Windows, но, возможно, могу посоветовать проверить две вещи, поскольку других ответов нет.
Прежде всего, проверьте, следует ли Windows 2022 подходу к мониторингу служб, аналогичному описанному в Windows 2008.здесь(илиздесь, илиздесь- эти источники практически одинаковы). Я думаю, что принцип настройки аудита, скорее всего, останется неизменным, поэтому вы можете попробовать запустить команду из указанных статей на обоих серверах и проверить вывод:
SC SDSHOW <service_name>
Командная документацияздесь.
Если выходные данные отличаются, вы можете рассмотреть возможность использования строки с сервера A и применения того же DACL/SACL к службе на сервере B с помощью SC SDSETкоманды, как описано в статье.1или2. Убедитесь, что вы понимаете, что делаете, и сначала проверьте DACL, используяConvertFrom-SddlString, например, какНеправильный DACL может привести к отключению сервиса! Планируйте и выполняйте с осторожностью, сделайте резервную копию старого DACL перед его перезаписью.
Если это не работает (выходы одинаковы), проверьте, возможно, глобальные параметры аудита на обоих серверах. Из сообщения об ошибке, возможно, это событие классифицировано как Success, и аудит успешных событий может быть не включен на сервере B. Поэтому проверьте эти параметры также на обоих серверах, запустив
auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"
Вы должны увидеть Success(или что-то еще) аудит, настроенный на обоих серверах одинаково. Если нет, вы можете попробовать применить те же настройки для сервера B, которые у вас есть на A, используя команду auditpol /set- еще раз, тем же способом, который был описан в статье1или2. Обратите внимание, чтовключение аудита успешных событий может привести к значительному увеличению количества журналов, поэтому внимательно следите за состоянием сервера после изменения параметров аудита.
Также, возможно, стоит проверить GPO GUI, как уже упоминалось.здесьиздесь:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services
Сам никогда не пробовал, но, возможно, этот раздел все еще на месте, и там есть что-то интересное.