- Remove From My Forums
Остановка службы — кто сделал?
-
Вопрос
-
Добрый день!
Имеется сервер Windows Server 2008 r2 — он же сервер 1С.
Сегодня остановилась служба: The Агент сервера 1С:Предприятия 8.2 (x86-64) service entered the stopped state.
Не могу найти информацию о том, кто остановил службу (какой пользователь)?
Log Name: System
Source: Service Control Manager
Date: 25.04.2013 15:47:14
Event ID: 7036
Task Category: None
Level: Information
Keywords: Classic
User: N/A
Computer: server1.test.corp
Description:
The Агент сервера 1С:Предприятия 8.2 (x86-64) service entered the stopped state.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Service Control Manager» Guid=»{555908d1-a6d7-4695-8e1e-26931d2012f4}» EventSourceName=»Service Control Manager» />
<EventID Qualifiers=»16384″>7036</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime=»2013-04-25T11:47:14.179396100Z» />
<EventRecordID>32646</EventRecordID>
<Correlation />
<Execution ProcessID=»656″ ThreadID=»112372″ />
<Channel>System</Channel>
<Computer>server1.test.corp</Computer>
<Security />
</System>
<EventData>
<Data Name=»param1″>Агент сервера 1С:Предприятия 8.2 (x86-64)</Data>
<Data Name=»param2″>stopped</Data>
<Binary>310043003A0045006E0074006500720070007200690073006500200038002E003200200053006500720076006500720020004100670065006E007400200028007800380036002D003600340029002F0031000000</Binary>
</EventData>
</Event>-
Изменено
25 апреля 2013 г. 13:44
-
Изменено
Ответы
-
В качестве дополнения- групповой политикой действительно можно назначить учетные записи, имеющие право управлять службой. Но ответа на вопрос, какая именно УЗ выполнила какие действия, Вы не получите. Более того, неправильно раздав права запускаостановки
сервиса, можете сами лишиться(и других лишить) его управления. Делать это нужно осторожно, и понимать, что делаете.Также необходимо понимать, что остановить службу мог только пользователь, обладающий как минимум правами локального администратора на сервере. Возможно, это сузит круг потенциальных «вредителей»
Настраивайте
аудит.http://technet.microsoft.com/ru-ru/library/dd560628(v=ws.10).aspx
Тут можно почерпнуть, что еще можно настроить , улучшить и тд.
Новые возможности Windows Server 2008 R2
-
Предложено в качестве ответа
AndricoRusEditor
26 апреля 2013 г. 5:38 -
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff
26 апреля 2013 г. 9:57
-
Предложено в качестве ответа
Download PC Repair Tool to quickly find & fix Windows errors automatically
Windows Service getting stopped or disabled is not very common, but can happen at times. The biggest problem here is that there is no way to find out which Process stopped or updated the Windows Services on Windows 10. That is where you need a program that can audit such services. It comes in handy with custom services that are more prone to these issues. Windows Service Auditor is a free program that allows you to keep track of such services. Windows Service Auditor will tell you which process stopped, started, deleted, or updated Windows Services. It will keep a log on the user, time, and the process which made any change.
Windows Service Auditor is a free, portable application that allows you to perform detailed auditing. It can also probe the Windows Event Logs to give better insight. Windows do offer some tools, but they don’t help a general consumer. Tools such as Event Viewer and AuditPol provides a detailed view, but they are not helpful. You need to be an expert to understand and debug those issues.
Features of Windows Service Auditor
- Works with domain computers, local and global audit policies
- Track which program stopped or deleted Windows Service
- When was the service started and at what time did the service start
- Any startup error for the services
How to use Windows Service Auditor
Since this is a monitoring service, it cannot do everything on its own. You will have to choose which service should be tracked. Along with it, you can stop, start services if needed. Here is how to use setup auditing of the service.
1] Initial Setup
It’s a portable application, so make sure to download and keep it at a place from where it doesn’t get deleted. Also, make sure to set it to launch as the computer starts, so the auditing doesn’t miss tracking. Launch the application, and you will get to see two parts—List of Windows Services, and Event logs. The later reveals any event log connected to the selected service.
2] Enable Advanced Security Auditing
Windows don’t keep track of some of the advanced features as the default settings. You will need to enable advanced security auditing to capture the details. The good thing is that using Windows Service Auditor; you can enable it right away.
Click on the Application menu and then select “Enable Local Audit Policy .” This option is automatically enabled by default, but if you wish to disable it, this is the menu you need to access. Enabling this, Windows will now monitor auditing based on the following
- Other Object Access
- Handle Manipulation
- Security System Extension
3] Monitor a Service
The last step is to select a service, and then click on the “Eye” icon on the top menu to start monitoring it. Once enabled, notice an “Eye” icon next to the service which is being monitored. Select it, and you will have details in the Events section. It will include all the changes made by a program or a user along with a timestamp. There is no way to enable it for multiple services, and it will not work for all services, but only those that are not under system control. The audit policy in place, Windows will capture detailed audit events whenever anyone tries to start, stop, or update your service.
You can also enable auditing for any service using the menu option available under services.
How Windows Service Auditor works on Domain Computers
While you can enable it on any computer which is part of the domain, there is one drawback. Any changes made by Windows Service Auditor will be overwritten the next time the server refreshes the policy. You will have to manually update the Global Audit Policy again to enable advanced auditing. Microsoft has detailed documentation on how you can update the global Audit Policy.
Just like Local Policy editing, you will need to configure the system to audit events in the Other Object Access, Handle Manipulation, and Security System Extension. It is available under Security Settings.
Download it from the official page.
I hope the post was easy to follow, and you were able to enable Advanced Security Auditing for Windows Services on Windows 10.
Ashish is a veteran Windows and Xbox user who excels in writing tips, tricks, and features on it to improve your day-to-day experience with your devices. He has been a Microsoft MVP (2008-2010).
Download PC Repair Tool to quickly find & fix Windows errors automatically
Windows Service getting stopped or disabled is not very common, but can happen at times. The biggest problem here is that there is no way to find out which Process stopped or updated the Windows Services on Windows 10. That is where you need a program that can audit such services. It comes in handy with custom services that are more prone to these issues. Windows Service Auditor is a free program that allows you to keep track of such services. Windows Service Auditor will tell you which process stopped, started, deleted, or updated Windows Services. It will keep a log on the user, time, and the process which made any change.
Windows Service Auditor is a free, portable application that allows you to perform detailed auditing. It can also probe the Windows Event Logs to give better insight. Windows do offer some tools, but they don’t help a general consumer. Tools such as Event Viewer and AuditPol provides a detailed view, but they are not helpful. You need to be an expert to understand and debug those issues.
Features of Windows Service Auditor
- Works with domain computers, local and global audit policies
- Track which program stopped or deleted Windows Service
- When was the service started and at what time did the service start
- Any startup error for the services
How to use Windows Service Auditor
Since this is a monitoring service, it cannot do everything on its own. You will have to choose which service should be tracked. Along with it, you can stop, start services if needed. Here is how to use setup auditing of the service.
1] Initial Setup
It’s a portable application, so make sure to download and keep it at a place from where it doesn’t get deleted. Also, make sure to set it to launch as the computer starts, so the auditing doesn’t miss tracking. Launch the application, and you will get to see two parts—List of Windows Services, and Event logs. The later reveals any event log connected to the selected service.
2] Enable Advanced Security Auditing
Windows don’t keep track of some of the advanced features as the default settings. You will need to enable advanced security auditing to capture the details. The good thing is that using Windows Service Auditor; you can enable it right away.
Click on the Application menu and then select “Enable Local Audit Policy .” This option is automatically enabled by default, but if you wish to disable it, this is the menu you need to access. Enabling this, Windows will now monitor auditing based on the following
- Other Object Access
- Handle Manipulation
- Security System Extension
3] Monitor a Service
The last step is to select a service, and then click on the “Eye” icon on the top menu to start monitoring it. Once enabled, notice an “Eye” icon next to the service which is being monitored. Select it, and you will have details in the Events section. It will include all the changes made by a program or a user along with a timestamp. There is no way to enable it for multiple services, and it will not work for all services, but only those that are not under system control. The audit policy in place, Windows will capture detailed audit events whenever anyone tries to start, stop, or update your service.
You can also enable auditing for any service using the menu option available under services.
How Windows Service Auditor works on Domain Computers
While you can enable it on any computer which is part of the domain, there is one drawback. Any changes made by Windows Service Auditor will be overwritten the next time the server refreshes the policy. You will have to manually update the Global Audit Policy again to enable advanced auditing. Microsoft has detailed documentation on how you can update the global Audit Policy.
Just like Local Policy editing, you will need to configure the system to audit events in the Other Object Access, Handle Manipulation, and Security System Extension. It is available under Security Settings.
Download it from the official page.
I hope the post was easy to follow, and you were able to enable Advanced Security Auditing for Windows Services on Windows 10.
Ashish is a veteran Windows and Xbox user who excels in writing tips, tricks, and features on it to improve your day-to-day experience with your devices. He has been a Microsoft MVP (2008-2010).
Служба Windows остановка или отключение не очень распространено, но иногда случается. Самая большая проблема здесь в том, что нет способа узнать, какой процесс остановил или обновил службы Windows в Windows 10. Вот где вам нужна программа, которая может проверять такие службы. Это удобно с пользовательскими службами, которые более подвержены этим проблемам. Аудитор служб Windows это бесплатная программа, которая позволяет отслеживать такие услуги. Аудитор служб Windows сообщит вам, какой процесс остановлен, запущен, удален или обновлен службами Windows. Он будет вести журнал пользователя, времени и процесса, в котором были внесены какие-либо изменения.
Windows Service Auditor — это бесплатное портативное приложение, которое позволяет выполнять подробный аудит. Он также может исследовать журналы событий Windows, чтобы получить лучшее представление. Windows действительно предлагает некоторые инструменты, но они не помогают обычному потребителю. Такие инструменты, как Event Viewer и AuditPol, предоставляют подробный обзор, но они бесполезны. Вы должны быть экспертом, чтобы понимать и устранять эти проблемы.
Возможности Windows Service Auditor
- Работает с компьютерами домена, локальными и глобальными политиками аудита
- Отслеживайте, какая программа остановила или удалила службу Windows
- Когда была запущена служба и в какое время она запустилась
- Любая ошибка запуска служб
Как использовать Windows Service Auditor
Поскольку это служба мониторинга, она не может делать все самостоятельно. Вам нужно будет выбрать, какой сервис отслеживать. Наряду с этим вы можете останавливать, запускать службы, если это необходимо. Вот как использовать аудит настройки службы.
1]Начальная настройка
Это портативное приложение, поэтому обязательно загрузите его и храните в месте, откуда оно не будет удалено. Кроме того, убедитесь, что он запускается при запуске компьютера, чтобы аудит не пропустил отслеживание. Запустите приложение, и вы увидите две части: список служб Windows и журналы событий. В последнем случае отображается любой журнал событий, связанный с выбранной службой.
2]Включить расширенный аудит безопасности
Windows не отслеживает некоторые расширенные функции как настройки по умолчанию. Вам нужно будет включить расширенный аудит безопасности, чтобы фиксировать детали. Хорошо то, что с помощью Windows Service Auditor; вы можете включить его прямо сейчас.
Щелкните меню «Приложение» и выберите «Включить политику локального аудита». Этот параметр автоматически включен по умолчанию, но если вы хотите отключить его, вам необходимо получить доступ к этому меню. Включив это, Windows теперь будет отслеживать аудит на основе следующих
- Доступ к другим объектам
- Обработка манипуляций
- Расширение системы безопасности
3]Мониторинг службы
Последний шаг — выбрать службу, а затем щелкнуть значок «Глаз» в верхнем меню, чтобы начать мониторинг. После включения обратите внимание на значок «Глаз» рядом с отслеживаемой службой. Выберите его, и подробности появятся в разделе «События». Он будет включать все изменения, внесенные программой или пользователем, вместе с отметкой времени. Невозможно включить его для нескольких служб, и он будет работать не для всех служб, а только для тех, которые не находятся под контролем системы. При наличии политики аудита Windows будет фиксировать подробные события аудита всякий раз, когда кто-либо пытается запустить, остановить или обновить вашу службу.
Вы также можете включить аудит для любой службы, используя параметр меню, доступный в разделе служб.
Как Windows Service Auditor работает на компьютерах домена
Хотя вы можете включить его на любом компьютере, входящем в домен, есть один недостаток. Любые изменения, внесенные Windows Service Auditor, будут перезаписаны при следующем обновлении политики сервером. Вам придется вручную обновить глобальную политику аудита, чтобы включить расширенный аудит. Microsoft имеет подробная документация о том, как вы можете обновить глобальную Политику аудита.
Как и при редактировании локальной политики, вам нужно будет настроить систему для аудита событий в доступе к другим объектам, манипулировании обработкой и расширении системы безопасности. Он доступен в настройках безопасности.
Загрузите его с официальная страница.
Я надеюсь, что за публикацией было легко следить, и вы смогли включить Расширенный аудит безопасности для служб Windows в Windows 10.
Столкнулся с такой задачей: требовалось знать кто остановил критически важную службу на Windows-сервере. Как оказалось аудит этого события настраивается немного по-другому, в отличии, например, от файлового сервера. Что для этого требуется:
1) для начала скажу, что нельзя настроить аудит сразу всех служб — нужно выбрать конкретные службы для их аудита. Узнаем короткое имя службы, например, через команду PS get-service и в столбце «Name» оно будет отображено
2) в cmd выполняем команду sc sdshow [короткое имя службы]. Выведется строка примерно такого вида D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU). Скопируйте ее в блокнот и в конце добавьте строку S:(AU;SAFA;RPWPDT;;;WD). Буква «D» в начале строки означает начало списка доступа DACL, а буква «S» — список доступа SACL, который используется при логировании. Если выводимая строка в команде «sc sdshow» уже будет содержать SACL, то удаляем ее и добавляем ту, которая указана выше.
3) выполняем в cmd команду sc sdset [короткое имя службы][получившаяся новая строка]. После этого должна появиться строка [SC] SetServiceObjectSecurity: успех
4) командой auditpol /get /category:* проверяем какой аудит включен в системе. Нам необходимо, чтобы был включен аудит для подкатегорий «Другие события доступа к объекту» и «Работа с дескриптором». В английской Windows они соответственно называются «Other Object Access Events» и «Handle Manipulation». Если аудит не настроен, то делаем это через групповые политики, если компьютер в домене или через команды auditpol /set /subcategory:"Другие события доступа к объекту" /success:enable /failure:disable и auditpol /set /subcategory:"Работа с дескриптором" /success:enable /failure:disable, если компьютер не в домене.
5) фильтруем журнал безопасности Windows по коду события «4656» и можем видеть событие в журнале
Аудит настроен.
|
|||
| arsik
15.01.14 — 20:19 |
Нужно при остановке службы сервера некоторые действия сделать. Не важно в ручную служба останавливается или из-за сбоя. |
||
| Torquader
1 — 15.01.14 — 22:29 |
Можно периодически проверять состояние службы, а можно в ней поставить автоматический перезапуск при падении, тогда она сама сможет узнать, что упала и решить, как этого избежать. |
||
| Сержант 1С
2 — 16.01.14 — 00:35 |
1 повершеллом отслеживать |
||
| 1dvd
3 — 16.01.14 — 07:44 |
Это, не? http://savepic.net/4299281.png |
||
| arsik
4 — 16.01.14 — 10:25 |
(1) (2) (3) Остановка сервиса может быть не только из за сбоя. В основном сервис останавливается вручную, но иногда бывают и аварийные. Мне нужно все эти случаи отследить. |
||
| МихаилМ
5 — 16.01.14 — 10:29 |
(0) |
||
| ЧеловекДуши
6 — 16.01.14 — 10:37 |
(0) Пиши свою службу, которая будет отслеживать процесс от «1С». И если он не запущен, то и делать, то что тебе надо |
||
| ЧеловекДуши
7 — 16.01.14 — 10:38 |
(4) Аварийные случаи решаются просто, там в настройках есть параметры перезапуска. |
||
| Torquader
8 — 16.01.14 — 10:51 |
Первая ссылка в google: |
||
| arsik
9 — 16.01.14 — 12:32 |
(7) Это я в курсе — это самое простое, а мне нужно еще отследить и штатные остановки. |
||
| Jaap Vduul
10 — 16.01.14 — 12:59 |
Service control manager в системном журнале фиксирует изменение статусов всех служб. |
||
| arsik
11 — 16.01.14 — 13:16 |
(10) Копал глубоко, но через него невозможно определить какая служба остановилась ну или я не нашел. |
||
| Jaap Vduul
12 — 16.01.14 — 13:48 |
(11)Через xpath практически любой фильтр можно нарисовать, типа: |
||
| Jaap Vduul
13 — 16.01.14 — 13:52 |
+12 |
||
|
arsik 14 — 16.01.14 — 13:55 |
(13) Спасибо. ТО что доктор прописал. |
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку «Обновить» в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.