После остановки службы в Windows Server 2016 в системном журнале событий Windows появляется событие с кодом 7036 с сообщением типа
Служба (ServiceName) перешла в состояние (StatusName).
Но в Windows 10 событие "служба остановлена" не появляется в системном журнале событий Windows (фильтры не применяются).
Есть ли способ включить эти сообщения в Windows 10?
Похоже, что событие 7036 отсутствует в настольной операционной системе Windows (начиная с 8). Однако вы можете отслеживать завершение процесса:
gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы - Локальная группа -> Подробное отслеживание -> Завершение процесса аудита.
В качестве альтернативы вы можете попробовать это решение.
Но в этом случае вы получите событие 4546 не только когда служба запускается или останавливается, но и всякий раз, когда что-то пытается получить к ней доступ (например, когда апплет служб открыт).
