嘗試審核哪個 AD 使用者實際在特定服務上重新啟動了服務。
服務 (MyService) 使用服務帳戶來運作並存取不同的資源。
我想審核我的用戶或任何實際的人類用戶手動啟動/停止/重新啟動服務的時間,並能夠在EventViewer 的“事件”中獲取該信息,以便稍後設置警報或過濾視圖以查看誰以及何時修改了服務服務運作狀態。
我發現這些說明似乎很詳細:
https://support.qlik.com/articles/000058520
在伺服器 (Windows Server 2019) 本身上(即不透過 GPO):
MMC > 安全性範本 > C:\Users$USER\Documents\Security\Templates
1.1 “新範本” > “MyServiceSecurityTemplate”
1.2 “MyServiceSecurityTemplate” > “系統服務” > “MyService” > “屬性”
1.3
“在中定義此原則設定範本” = 選取
「選擇服務啟動模式:自動」
^ 即服務應始終與伺服器一起啟動,因此我們只需控制服務啟動方式或它與它記錄的服務啟動事件相關嗎?
即,它僅在服務自動啟動時記錄,而不在手動停止/啟動/重新啟動時記錄?
1.4“編輯安全性”>“進階”>“審核”>“新增”>
“主體:”
“類型:成功”
“基本權限:啟動、停止和暫停”
“確定”>“應用”>“確定”>“應用>“確定”>“確定”>提示:
“您將要更改此服務的安全設定...是否繼續?” >
“是” > “應用” > “確定”本機群組原則編輯器 > 電腦設定 > Windows 設定 > 安全性設定 > 進階稽核策略設定 > 系統稽核原則 - 本機群組原則物件 > 物件存取: 「
稽核句柄操作」與「稽核其他物件存取事件」>「屬性”
“配置”選定要審核的事件:
審核全部成功>“應用”>“確定”事件檢視器 > Windows 日誌 > 安全性:
EventID 4656 的篩選器
沒有找到該過濾器的事件...
這是為什麼?