呂梁

WindowsServiceAuditor軟件的主頁(yè)地址為：https：//www.coretechnologies.com/products/WindowsServiceAuditor/。我們可以從這里下載該軟件的便攜版，直接運(yùn)行WindowsServiceAuditor.exe文件即可啟動(dòng)該軟件。注意如果有用戶賬戶控制提醒，點(diǎn)擊“是”通過即可（圖1）。

程序啟動(dòng)后，看到窗口的兩個(gè)主要部分。上部窗格列出的是計(jì)算機(jī)上安裝的每個(gè)服務(wù)，下面窗格則顯示的是與上面所選服務(wù)相關(guān)聯(lián)的事件列表（圖2）。例如，這里我們所選擇的是Microsoft Edge的更新服務(wù)，下方窗格中的所有條目是與Edge更新服務(wù)相關(guān)聯(lián)的所有事件記錄。

在上方窗格中選擇了一個(gè)服務(wù)（例如選擇酷狗音樂軟件的服務(wù)），然后雙擊下方窗格中與之相關(guān)聯(lián)的某條事件，我們便會(huì)查看到此事件的詳細(xì)信息，包括是什么時(shí)間執(zhí)行的，通過哪個(gè)程序執(zhí)行的等等（圖3）。這樣，我們就可以追蹤到有關(guān)系統(tǒng)或軟件更新、軟件的安裝與卸載等常見事件。

在默認(rèn)情況下，大多數(shù)服務(wù)事件都不會(huì)顯示執(zhí)行該操作的賬戶。這是因?yàn)閃indows在默認(rèn)情況下不跟蹤用戶信息，我們必須啟用高級(jí)安全審核才能捕獲該級(jí)別的詳細(xì)信息。為此，需要通過軟件的Service菜單，選擇Enable Auditing選項(xiàng)，啟用審核。之后，系統(tǒng)會(huì)提示必須更新計(jì)算機(jī)的本地審核策略，點(diǎn)擊OK確定。開啟了高級(jí)審核策略之后，當(dāng)有人試圖啟動(dòng)、停止或更新您的服務(wù)時(shí)，Windows將會(huì)捕獲詳細(xì)的審核事件。比如：查看Windows Update服務(wù)條目獲知，管理員賬戶在今天下午3：28啟動(dòng)了Windows升級(jí)服務(wù)。