Découvrez qui a désactivé un service Windows

29

Je faisais des recherches de pannes et j'ai découvert deux services qui auraient automaticdû être réglés sur disabled.

Quelle est la meilleure façon de savoir qui a fait cela? Il peut s'agir de quelqu'un de mon entreprise ou de quelqu'un côté client. Il suffirait de déterminer le compte utilisateur.

J'ai jeté un œil dans l'Observateur d'événements Windows, mais, pour être honnête, je ne suis pas sûr de ce que je recherche, et il y a beaucoup de choses à travailler. Rien ne m'a sauté aux yeux, mais je soupçonne que c'est juste que je ne sais pas ce que je cherche.

windows-server-2008 service eventviewer Paul Brindley
la source
7
Merci à ceux qui m'ont donné des réponses utiles. J'ai découvert qui c'était. Il s'est également avéré qu'ils les ont désactivés pour une bonne raison et après que le problème sur lequel j'enquête a eu lieu. Retour aux fichiers journaux du programme pour plus de prospects!
Paul Brindley
4
Pour les futurs lecteurs (puisque ce n'est manifestement pas vous, Paul): réalisez simplement qu'attribuer le blâme n'est généralement pas une chose utile à faire. C'est bien d'utiliser ces informations pour savoir à qui vous pouvez poser des questions et savoir ce qui se passe et peut-être leur dire pourquoi c'est une mauvaise idée, mais évitez de l'utiliser comme excuse pour menacer ou maltraiter quelqu'un.
jpmc26
4
Dans ce cas, je voulais savoir parce que nous gérons le service, mais le serveur appartient au client et il aurait donc été utile de savoir si nous avons gâché ou si l'équipe du serveur du client avait changé quelque chose. De plus, je voulais m'assurer qu'il était correct de le réactiver, après tout, je pensais que c'était une erreur, mais il y avait peut-être une bonne raison pour que ce service arrête de traiter les fichiers. Finalement, la réponse a été oui, ils migraient une base de données, le service a donc été désactivé alors que la base de données n'était pas disponible. Mais ils ont oublié de le rallumer quand ils ont fini.
Paul Brindley

Réponses:

39

Lorsque le type de démarrage d'un service est modifié, un événement est enregistré dans le journal des événements système , avec l'ID 7040 et le gestionnaire de contrôle des services source .

L'utilisateur qui a effectué l'opération s'affiche dans l'événement (masqué dans la capture d'écran ci-dessous). entrez la description de l'image ici

Vous devez donc trouver ces événements dans vos journaux d'événements; j'espère que vous aurez directement le nom d'utilisateur.

S'il s'agit d'un nom d'utilisateur générique, tel que "administrateur", il est temps d'arrêter d'utiliser un compte générique, et vous devrez corréler la date / heure de l'événement avec d'autres informations que vous pourriez obtenir à partir d'un autre journal (comme: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational qui peut vous donner l'IP source d'une session de bureau à distance)

JFL
la source
11

Dans l'Observateur d'événements, recherchez dans le journal des événements "Journaux Windows" -> "Système" et filtrez pour la source "Gestionnaire de contrôle des services" et l'ID d'événement 7040. Recherchez l'événement indiquant "Le type de démarrage du service a été modifié par rapport au type de démarrage d'origine. à désactivé "pour le service qui vous intéresse. Lorsque vous trouvez cela," l'utilisateur "répertorié dans les détails ci-dessous est l'utilisateur qui a effectué cette modification.

Pak
la source