Как узнать, какой процесс остановил или запустил службы Windows

Служба Windows(Windows Service) останавливается или отключается не очень часто, но иногда может происходить. Самая большая проблема здесь заключается в том, что невозможно узнать, какой процесс(Process) остановил или обновил службы(Windows Services) Windows в Windows 10 . Вот где вам нужна программа, которая может проверять такие службы. Это удобно для пользовательских сервисов, которые более подвержены этим проблемам. Windows Service Auditor — бесплатная программа, позволяющая отслеживать такие службы. Windows Service Auditor сообщит вам, какой процесс был остановлен, запущен, удален или обновлен службами (Services)Windows . Он будет вести журнал пользователя, времени и процесса, который внес какие-либо изменения.

Найдите(Find) , какой процесс остановил или запустил службы (Services)Windows

Windows Service Auditor — это бесплатное портативное приложение, позволяющее выполнять подробный аудит. Он также может исследовать журналы событий Windows(Windows Event Logs) , чтобы получить более полное представление. Windows предлагает некоторые инструменты, но они не помогают обычному потребителю. Такие инструменты, как Event Viewer и AuditPol , обеспечивают детальное представление, но бесполезны. Вы должны быть экспертом, чтобы понимать и устранять эти проблемы.

Особенности аудита служб Windows

  • Работает с доменными компьютерами, локальными и глобальными политиками аудита.
  • Отслеживайте, какая программа остановила или удалила службу Windows(Windows Service)
  • Когда была запущена служба и в какое время была запущена служба
  • Любая ошибка запуска для служб

Как использовать Аудитор служб Windows

Поскольку это служба мониторинга, она не может делать все сама. Вам нужно будет выбрать, какую услугу следует отслеживать. Наряду с этим вы можете останавливать, запускать службы, если это необходимо. Вот как использовать аудит настройки службы.

1] Первоначальная настройка

Службы Windows, остановленные процессами

Это портативное приложение, поэтому обязательно загрузите его и храните в месте, откуда оно не будет удалено. Кроме того, не забудьте настроить его на запуск при запуске компьютера, чтобы аудит не пропустил отслеживание. Запустите приложение, и вы увидите две части: список служб (Services)Windows и журналы событий(Event) . Последний показывает любой журнал событий, связанный с выбранной службой.

2 ] Включить расширенный аудит безопасности(] Enable Advanced Security Auditing)

Windows не отслеживает некоторые дополнительные функции в качестве настроек по умолчанию. Вам нужно будет включить расширенный аудит безопасности, чтобы зафиксировать детали. Хорошо, что с помощью Windows Service Auditor ; вы можете включить его прямо сейчас.

Щелкните(Click) меню « Приложение(Application) » и выберите «Включить локальную политику аудита». Эта опция автоматически включена по умолчанию, но если вы хотите отключить ее, вам нужно получить доступ к этому меню. Включив это, Windows теперь будет контролировать аудит на основе следующих

  • Другой доступ к объектам
  • Манипулировать ручкой
  • Расширение системы безопасности

3] Мониторинг службы

Мониторинг службы Windows на наличие изменений

Последний шаг — выбрать сервис, а затем нажать на значок «Глаз» в верхнем меню, чтобы начать его мониторинг. После включения обратите внимание на значок «Глаз» рядом с отслеживаемой службой. Выберите его, и вы получите подробную информацию в разделе «События». Он будет включать все изменения, сделанные программой или пользователем, вместе с отметкой времени. Нет возможности включить его для нескольких служб, и он не будет работать для всех служб, а только для тех, которые не находятся под контролем системы. При наличии политики аудита Windows будет фиксировать подробные события аудита всякий раз, когда кто-либо пытается запустить, остановить или обновить вашу службу.

Вы также можете включить аудит для любой службы, используя опцию меню, доступную в разделе «Службы».

включить аудит расширенных служб Windows

Как Windows Service Auditor работает на доменных(Domain) компьютерах

Хотя вы можете включить его на любом компьютере, который является частью домена, есть один недостаток. Любые изменения, внесенные Windows Service Auditor , будут перезаписаны при следующем обновлении политики сервером. Вам придется снова вручную обновить глобальную политику аудита(Global Audit Policy) , чтобы включить расширенный аудит. У Microsoft(Microsoft) есть подробная документация(detailed documentation) о том, как можно обновить глобальную политику(Policy) аудита .

Так же, как и при редактировании локальной политики(Policy) , вам потребуется настроить систему для аудита событий в разделе « Доступ к другим объектам(Object Access) »,  « Обработка манипуляций(Handle Manipulation) » и  « Расширение системы безопасности»(Security System Extension) . Он доступен в настройках безопасности(Security Settings) .

Загрузите его с официальной страницы(official page) .

Я надеюсь, что за постом было легко следить, и вы смогли включить расширенный аудит безопасности(Advanced Security Auditing ) для служб Windows в Windows 10.



Флорентина Успенская

About the author

Я инженер-программист с более чем 15-летним опытом работы с Microsoft Office и Edge. Я также разработал несколько инструментов, используемых конечными пользователями, например, приложение для отслеживания важных медицинских данных и детектор программ-вымогателей. Мои навыки заключаются в разработке элегантного кода, который хорошо работает на различных платформах, а также в отличном понимании взаимодействия с пользователем.


Related posts