पता करें कि विंडोज सेवा किसने अक्षम की

29

मैं कुछ गलती खोज रहा था, और मैंने दो सेवाओं की खोज की है जिन्हें सेट किया जाना चाहिए automaticथा disabled।

यह पता लगाने का सबसे अच्छा तरीका क्या है कि यह किसने किया? यह मेरी कंपनी का कोई व्यक्ति हो सकता है, या यह कोई ग्राहक-पक्ष हो सकता है। यह उपयोगकर्ता खाते को निर्धारित करने के लिए पर्याप्त होगा।

मैंने विंडोज इवेंट व्यूअर में एक नज़र डाली है, लेकिन, ईमानदार होने के लिए, मुझे यकीन नहीं है कि मैं क्या देख रहा हूं, और इसके माध्यम से काम करने के लिए बहुत कुछ है। मेरे ऊपर कुछ भी नहीं निकला है, लेकिन मुझे संदेह है कि मुझे नहीं पता कि मैं क्या देख रहा हूं।

windows-server-2008 service eventviewer

— पॉल ब्रिंडली
स्रोत

7

उन लोगों को धन्यवाद जिन्होंने मुझे उपयोगी उत्तर दिए। पता चला कि यह कौन था। यह भी पता चला कि उन्होंने उन्हें एक अच्छे कारण के लिए बंद कर दिया था और इस मुद्दे के बाद मैं जांच कर रहा हूं। अधिक लीड के लिए प्रोग्राम लॉग फ़ाइल पर वापस जाएं!

— पॉल ब्रिंडले

4

भविष्य के पाठकों के लिए (चूंकि यह स्पष्ट रूप से आप, पॉल नहीं हैं): बस यह महसूस करें कि दोष देना आमतौर पर एक उपयोगी बात नहीं है। इस जानकारी का उपयोग करने के लिए यह जानना ठीक है कि आप किससे सवाल पूछ सकते हैं और पता लगा सकते हैं कि क्या चल रहा है और शायद उन्हें बताएं कि यह एक बुरा विचार क्यों है, लेकिन किसी को धमकी देने या गलत व्यवहार करने के बहाने के रूप में इसका उपयोग करने से बचें।

— jpmc26

4

इस मामले में मैं जानना चाहता था क्योंकि हम सेवा का प्रबंधन करते हैं, लेकिन सर्वर क्लाइंट का है और इसलिए यह जानना उपयोगी होगा कि क्या हमने गड़बड़ की है, या यदि क्लाइंट की सर्वर टीम ने कुछ बदल दिया है। इसके अलावा, मैं यह सुनिश्चित करना चाहता था कि इसे वापस चालू करना ठीक है, आखिरकार मैंने माना कि यह एक गलती थी, लेकिन एक अच्छा कारण हो सकता है कि उस सेवा को फ़ाइलों को संसाधित करना बंद कर देना चाहिए। अंत में जवाब हाँ था, वे एक डेटाबेस को माइग्रेट कर रहे थे इसलिए सेवा अनुपलब्ध थी जबकि डेटाबेस अनुपलब्ध था। लेकिन जब वे किए गए तो वे इसे वापस करना भूल गए।

— पॉल ब्रिंडली

39

जब सेवा का प्रारंभ प्रकार बदल जाता है, तो ईवेंट 7040 और स्रोत सेवा नियंत्रण प्रबंधक के साथ एक ईवेंट सिस्टम ईवेंट लॉग में रिकॉर्ड किया जाता है ।

ऑपरेशन करने वाले उपयोगकर्ता को घटना में प्रदर्शित किया जाता है (नीचे स्क्रीन शॉट में obfuscated)।

तो आपको अपने ईवेंट लॉग में उन घटनाओं को ढूंढना होगा; उम्मीद है कि आप सीधे उपयोगकर्ता का नाम होगा।

यदि यह एक सामान्य उपयोगकर्ता नाम है, जैसे "व्यवस्थापक", तो यह जेनेरिक खाते का उपयोग बंद करने का समय है, और आपको अन्य लॉग से प्राप्त होने वाली अन्य जानकारी के साथ घटना की तारीख / समय सहसंबंधित करना होगा (जैसे: Microsoft -Windows-TerminalServices-LocalSessionManager / परिचालनात्मक जो आपको दूरस्थ डेस्कटॉप सत्र का स्रोत आईपी दे सकता है)

— JFL
स्रोत

11

इवेंट व्यूअर में, "Windows लॉग्स" -> "सिस्टम" ईवेंट लॉग में देखें, और स्रोत "सर्विस कंट्रोल मैनेजर" और इवेंट आईडी 7040 के लिए फ़िल्टर करें। यह कहते हुए ईवेंट ढूंढें " सेवा का प्रारंभ प्रकार मूल प्रारंभ प्रकार से बदल दिया गया था आप जिस सेवा में रूचि रखते हैं , उसे निष्क्रिय करने के लिए । जब आप पाते हैं कि, नीचे दिए गए विवरणों में सूचीबद्ध "उपयोगकर्ता" वह उपयोगकर्ता है जिसने यह परिवर्तन किया है।

— पाक
स्रोत