呂梁

WindowsServiceAuditor軟件的主頁地址為：https：//www.coretechnologies.com/products/WindowsServiceAuditor/。我們可以從這里下載該軟件的便攜版，直接運行WindowsServiceAuditor.exe文件即可啟動該軟件。注意如果有用戶賬戶控制提醒，點擊“是”通過即可（圖1）。

程序啟動后，看到窗口的兩個主要部分。上部窗格列出的是計算機上安裝的每個服務(wù)，下面窗格則顯示的是與上面所選服務(wù)相關(guān)聯(lián)的事件列表（圖2）。例如，這里我們所選擇的是Microsoft Edge的更新服務(wù)，下方窗格中的所有條目是與Edge更新服務(wù)相關(guān)聯(lián)的所有事件記錄。

在上方窗格中選擇了一個服務(wù)（例如選擇酷狗音樂軟件的服務(wù)），然后雙擊下方窗格中與之相關(guān)聯(lián)的某條事件，我們便會查看到此事件的詳細信息，包括是什么時間執(zhí)行的，通過哪個程序執(zhí)行的等等（圖3）。這樣，我們就可以追蹤到有關(guān)系統(tǒng)或軟件更新、軟件的安裝與卸載等常見事件。

在默認情況下，大多數(shù)服務(wù)事件都不會顯示執(zhí)行該操作的賬戶。這是因為Windows在默認情況下不跟蹤用戶信息，我們必須啟用高級安全審核才能捕獲該級別的詳細信息。為此，需要通過軟件的Service菜單，選擇Enable Auditing選項，啟用審核。之后，系統(tǒng)會提示必須更新計算機的本地審核策略，點擊OK確定。開啟了高級審核策略之后，當(dāng)有人試圖啟動、停止或更新您的服務(wù)時，Windows將會捕獲詳細的審核事件。比如：查看Windows Update服務(wù)條目獲知，管理員賬戶在今天下午3：28啟動了Windows升級服務(wù)。