Вопрос или проблема
Событие с ID 7042 записывается в Журнал событий, когда останавливаются два определенных сервиса (пользовательские приложения) на Windows Server 2022. Проблема в том, что один из Windows Server не фиксирует эти события. Есть ли возможность или политика для включения логирования события 7042?
Я не эксперт по Windows, но, возможно, смогу предложить две вещи для проверки, так как других ответов нет.
Прежде всего, проверьте, следует ли Windows 2022 подходу к мониторингу сервисов, аналогичному Windows 2008, как описано здесь (или здесь, или здесь – эти источники почти одинаковые). Я думаю, что принцип настройки аудита, скорее всего, останется неизменным, поэтому вы можете попробовать выполнить команду из упомянутых статей на обоих серверах и проверить вывод:
SC SDSHOW <имя_сервиса>
Документацию по команде можно найти здесь.
Если вывод различается, вы можете рассмотреть возможность внедрения строки с сервера A и применения того же DACL/SACL к сервису на сервере B с помощью команды SC SDSET, как описано в статье 1 или 2. Пожалуйста, убедитесь, что вы понимаете, что делаете, и проверьте DACL сначала с помощью ConvertFrom-SddlString, например, так как неправильный DACL может привести к сбою сервиса! Планируйте и выполняйте с осторожностью, создайте резервную копию старого DACL перед его заменой.
Если это не работает (выводы одинаковы), проверьте, может быть, глобальные параметры аудита на обоих серверах. Исходя из сообщения об ошибке, возможно, это событие классифицируется как Успех, и аудит событий успешного завершения может быть не включен на сервере B. Поэтому проверьте также эти параметры на обоих серверах, выполнив
auditpol /get /subcategory:"Другие события доступа к объектам"
auditpol /get /subcategory:"Манипуляция дескрипторами"
Вы должны увидеть, что аудит Успех (или другой) настроен на обоих серверах одинаково. Если нет, вы можете попробовать применить те же настройки для сервера B, которые у вас есть на A, с помощью команды auditpol /set – еще раз, так же, как это было описано в статье 1 или 2. Пожалуйста, обратите внимание, что включение аудита успешных событий может значительно увеличить количество записей в журнале, поэтому внимательно следите за состоянием сервера после изменения параметров аудита.
Также стоит проверить графический интерфейс GPO, как упоминалось здесь и здесь:
Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Системные сервисы
Никогда это не пробовал сам, но, может быть, этот раздел все еще существует, и там есть что-то интересное.
Ответ или решение
Чтобы включить ведение журнала события с идентификатором 7042 (причина остановки службы) в Windows Server 2022, выполните следующие шаги:
-
Проверка настроек аудита служб:
Первым делом проверьте настройки аудита для служб на обоих серверах. Используйте командуSC SDSHOW <имя_службы>, чтобы получить информацию о текущем DACL/SACL (контроль доступа и управление аудитом) для служб, которые вас интересуют. Если вывод отличается между серверами, вы можете перенастроить DACL на сервере B, выполнив командуSC SDSET <имя_службы> <новая_строка_DACL>, чтобы соответствовать конфигурации на сервере A. Помните, что неправильные изменения в DACL могут привести к сбоям в работе служб!Пример команды:
SC SDSHOW <имя_службы>Документацию по командам можно найти здесь.
-
Проверка глобальных параметров аудита:
Если выводы команды SC одинаковы, следующим шагом будет проверка глобальных параметров аудита. Событие 7042 может классифицироваться как «Успех», и аудит успешных событий может не быть включен на сервере B. Для проверки настроек выполните команды:auditpol /get /subcategory:"Other Object Access Events" auditpol /get /subcategory:"Handle Manipulation"Убедитесь, что у вас настроен аудит «Успех» на обоих серверах. Если они отличаются, используйте команду
auditpol /setдля настроек на сервере B аналогичных тем, что есть на сервере A.Помните, что включение аудита успешных событий может привести к значительному увеличению количества журналов, поэтому внимательно следите за состоянием сервера после внесения изменений.
-
Настройка политик группы (GPO):
Также проверьте, не запрещены ли настройки аудита службы на уровне политик группы. Для этого откройте редактор политик группы (GPO) и проверьте следующие настройки:Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Системные службыОбратите внимание, что этот раздел может все еще существовать в Windows Server 2022, и там могут быть конфигурации, влияющие на ведение журнала событий.
Выполните эти шаги и проверьте журналы событий на сервере. Если событий с идентификатором 7042 все еще не появляется, возможно, стоит дополнительно проверить состояние самих служб и их зависимости, а также настройки специализированного программного обеспечения, которое может влиять на их работу.