Windows Service Auditor可轻松找出谁启动,停止或更新了Windows Services!便携式实用程序可启用高级审核并探查Windows事件日志,以帮助您调查重要服务。使用Windows Service Auditor,您可以随时了解谁停止了我的Windows服务、我的服务何时开始、谁删除了我的服务、我的服务启动后是否遇到任何错误。具有直观的界面。让您使用的时候更加方便,不用安装,直接运行即可开始你的查看!
使用说明
1、出现的窗口分为两个部分。上部窗格列出了计算机上安装的每个服务,而下部窗格则显示了与在上部窗格中选择的服务相关的事件。
例如,在这里您可以看到所选的Windows Update服务:
2、双击下部面板中的一行以查看事件的详细信息:
3、大多数服务事件不会显示执行该操作的帐户。这是因为Windows默认情况下不跟踪用户信息。您必须启用 高级安全审核 才能捕获该详细级别。
Windows Service Auditor使您可以轻松地为您的服务启用审核。只需从“ 服务”菜单中选择“ 启用审核 ” :
4、如果必须更新计算机的本地审核策略,系统将提示您。单击确定继续:
5、有了适当的审核策略,只要有人尝试启动,停止或更新您的服务,Windows就会捕获详细的审核事件。
例如,此事件告诉我们“管理员”帐户今天下午4:43启动了Windows Update服务:
更新日志
1.7.0.93(2020年6月1日)新!
新功能
开始在Windows安全事件日志中跟踪审核失败。
修复和改进
查找超过五千个事件日志记录时的改进性能。