WindowsServiceAuditor在Windows上审核和跟踪服务

Windows Service Auditor是一个免费的便携式程序，适用于Microsoft Windows设备，可以在运行Windows的计算机上跟踪和审核服务。

该应用程序为需要确定Windows设备上服务启动，停止或更新或删除原因的系统管理员提供帮助。它也可以用来检查系统事件，例如分析与系统上特定服务相关的其他事件;这使它成为检查日志中错误的好工具，而不必使用Windows事件查看器或其他事件日志工具。

运行该程序时，将加载服务列表。服务按字母顺序列出，并提供诸如名称和描述，当前状态(运行，已停止)之类的信息。

选择服务时，服务的事件显示在界面的下半部分。加载事件可能需要一秒钟。

列出事件的信息包括类型，时间，源，ID，用户和描述。没有选择按用户对数据进行不同排序的选项。

双击事件以在弹出窗口中显示信息;您可以通过单击界面中的复制链接将数据复制到剪贴板。

为了更好地利用该程序，有必要在设备上启用高级安全审核策略。检查服务>在Windows Service Auditor中启用审核。如果设备上尚未启用策略，则会显示一个信息屏幕，说明需要执行的操作。

Windows管理员可以访问Microsoft的Docs网站，以获取有关高级安全审核策略(包括如何启用它们)的其他信息。

启用策略后，Windows将捕获其他信息。其中包括更多事件的用户名，导致事件的操作以及持续时间。

用户可以使用Windows Service Auditor启动和停止服务。其他选项包括将数据导出到CSV文件，以及从应用程序内部启动系统工具，例如事件查看器，服务管理器或任务管理器。