2014.
09.
25
06:54:26
プロセス周りのお勉強をしていたら、サービス関連の知識も増えてきました。
どーせそのうち忘れちゃうので、忘れる前にメモっておきます。
今回お勉強したサービスは「Windows Event Log」です。
こいつは、その名の通り、イベントログ周りを管理するサービスみたいですね。
サービスの説明欄には
と書いてありました。
この説明を噛み砕くと、
となります。
ちなみに、ここで言うイベントは「パソコンの中で起こったこと」で
イベントログは「パソコンの中で起こったことの記録」ね。
あらかじめ「これが起きたら記録しておくべ」な内容が決まっていて、
それが起こったときにイベントログに記録されます。
このサービスが動いているときに登場するプロセスは「svchost.exe」です。
「svchost.exe」は、大雑把に言うとDLLを動かす奴ね。
実行ファイルのパスは
なので、実際にお仕事するのは
に書かれている奴、レジストリの
に
として登録されている奴のどれかです。
名前から推測するに
でしょうか。
こいつの実体は……あれ(--?
てっきり
があると思ったら、ありませんでした。なんてこったい。
その後、紆余曲折はありましたがすっ飛ばして、実体は
っぽいですね。
「eventlog.dll」ではなく「wevtsvc.dll」なのでご注意ください。
「Windows Event Log」サービスは「wevtsvc.dll」を「svchost.exe」経由で動かすということです。
私の環境では「Windows Event Log」サービスの
スタートアップの種類は「自動」になっていました。
サービスの状態は「開始」です。
試しに停止しようとしたところ、
「Task Scheduler」も止まるよ?と警告が出ましたφ(--)
あれ(--?
「Task Scheduler」って停止できないようになっていたはずだけど、良いの?
止まっちゃうの?止まっちゃって良いの?!
まぁ、良いや。停止(--)σぽちっ
結果(--)b
と怒られて停止できませんでした。φ(--)
アクセスが拒否されたそうです。
「大事なものだからおまえには触らせねーぜ!」ってことですかね。
最後にもう一度まとめておくと「Windows Event Log」サービスは、
その名の通り、イベントログ周りを管理しているサービスです。
大事な奴なので止めないでください。
そう簡単には止められないようになっていますので、
普通に使っている分には気にしなくて良いと思います。
そんな感じ\(--)/
どーせそのうち忘れちゃうので、忘れる前にメモっておきます。
今回お勉強したサービスは「Windows Event Log」です。
こいつは、その名の通り、イベントログ周りを管理するサービスみたいですね。
サービスの説明欄には
このサービスでは、イベントとイベント ログを管理します。イベントのログ、イベントの照会、イベントの購読、イベント ログのアーカイブ、およびイベント メタデータの管理をサポートしています。イベントは XML 形式およびテキスト形式で表示できます。このサービスを停止すると、システムのセキュリティと信頼性に危害が加えられる可能性があります。
と書いてありました。
この説明を噛み砕くと、
俺はイベントとイベントログ周りのあれこれを管理してっから。イベントはテキスト形式かXML形式で表示できるよ。俺を止めるとセキュリティ的にヤバいことになるかもしれないから気を付けろよ。
となります。
ちなみに、ここで言うイベントは「パソコンの中で起こったこと」で
イベントログは「パソコンの中で起こったことの記録」ね。
あらかじめ「これが起きたら記録しておくべ」な内容が決まっていて、
それが起こったときにイベントログに記録されます。
このサービスが動いているときに登場するプロセスは「svchost.exe」です。
「svchost.exe」は、大雑把に言うとDLLを動かす奴ね。
実行ファイルのパスは
%WINDIR%\system32\svchost.exe -k LocalServiceNetworkRestricted
なので、実際にお仕事するのは
-k LocalServiceNetworkRestricted
に書かれている奴、レジストリの
\HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Svchost
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Svchost
に
LocalServiceNetworkRestricted
として登録されている奴のどれかです。
名前から推測するに
eventlog
でしょうか。
こいつの実体は……あれ(--?
てっきり
%WINDIR%\system32\eventlog.dll
があると思ったら、ありませんでした。なんてこったい。
その後、紆余曲折はありましたがすっ飛ばして、実体は
%WINDIR%\system32\wevtsvc.dll
っぽいですね。
「eventlog.dll」ではなく「wevtsvc.dll」なのでご注意ください。
「Windows Event Log」サービスは「wevtsvc.dll」を「svchost.exe」経由で動かすということです。
私の環境では「Windows Event Log」サービスの
スタートアップの種類は「自動」になっていました。
サービスの状態は「開始」です。
試しに停止しようとしたところ、
「Task Scheduler」も止まるよ?と警告が出ましたφ(--)
あれ(--?
「Task Scheduler」って停止できないようになっていたはずだけど、良いの?
止まっちゃうの?止まっちゃって良いの?!
まぁ、良いや。停止(--)σぽちっ
結果(--)b
ローカル コンピュータ の Windows Event Log サービスを停止で
きません。
エラー5: アクセスが拒否されました。
きません。
エラー5: アクセスが拒否されました。
と怒られて停止できませんでした。φ(--)
アクセスが拒否されたそうです。
「大事なものだからおまえには触らせねーぜ!」ってことですかね。
最後にもう一度まとめておくと「Windows Event Log」サービスは、
その名の通り、イベントログ周りを管理しているサービスです。
大事な奴なので止めないでください。
そう簡単には止められないようになっていますので、
普通に使っている分には気にしなくて良いと思います。
そんな感じ\(--)/
