ID 為 7042 的事件當 Windows Server 2022 上的兩個特定服務(自訂應用程式)停止時,事件會記錄在事件日誌中。是否有選項或策略可以啟用 7042 事件的日誌記錄?
答案1
我不是 Windows 專家,但也許我可以建議檢查兩件事,因為沒有其他答案。
首先,請檢查Windows 2022是否遵循與Windows 2008類似的服務監控方法,如所述這裡(或者這裡, 或者這裡- 這些來源幾乎相同)。我認為審計配置原則很可能保持不變,因此您可以嘗試在兩台伺服器上執行提到的文章中的命令並檢查輸出:
SC SDSHOW <service_name>
命令文檔是這裡。
如果輸出不同,您可以考慮從伺服器 A 取得字串,並使用SC SDSET命令將相同的 DACL/SACL 應用於伺服器 B 上的服務,如文章所述1或者2。請確保您了解自己在做什麼,並確保首先使用以下命令檢查 DACLConvertFrom-SddlString,例如,作為錯誤的 DACL 可能會導致服務中斷!謹慎計劃和執行,在覆蓋舊的 DACL 之前備份它。
如果這不起作用(輸出相同),請檢查兩台伺服器上的全域審核選項。從錯誤訊息來看,此事件可能被分類為Success,且伺服器 B 上可能未啟用成功事件審核。
auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"
您應該會看到Success(或其他)在兩台伺服器上以相同的方式配置的審核。如果沒有,您可以嘗試使用該命令對伺服器 B 應用與 A 上相同的設定auditpol /set- 再次採用與文章中描述的相同方式1或者2。請注意啟用對成功事件的審核可能會導致日誌計數顯著增加,因此在更改審核選項後密切監視伺服器狀態。
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services
我自己從來沒有嘗試過,但也許這一部分仍然存在,並且存在一些有趣的東西。