Zabbix告警“"OneSyncSvc_xxxxx" (Sync Host_xxxx) is not running (startup type automatic delayed)”浅析

 

 

Zabbix监控的一台Windows Server 2016 Standard 服务器报"OneSyncSvc_14dfbcd7a" (Sync Host_14dfbcd7a) is not running (startup type automatic delayed)" 这类告警。它意味着Zabbix发现这个Windows服务器自动启动的服务没有启动。所以触发告警。如下所示

 

 

 

 

但是在服务器的Service里面找不到这个服务，只能找到类似的服务，如下截图所示，这个是怎么一回事呢？因为这个服务名是会变化的。具体有啥规律，没有去查找相关资料。其实这里的重点在于这些服务是干嘛用的？ 服务器是否应该禁用这些服务。

 

 

 

注意：服务名字（Service name）和显示名字（Dispaly name）的区别

 

这个OneSyncSvc_14dfbcd7a其实是同步主机服务，名字一般为OneSyncSvc_xxxx(xxx代表一串16进制数字），它是同步邮件、联系人，以及各种用户数据的一个服务。此服务是可以禁用的。具体见下面表格介绍：

Sync Host

Name	Description
Service name	OneSyncSvc
Description	This service synchronizes mail, contacts, calendar and various other user data. Mail and other applications dependent on this functionality will not work properly when this service is not running.
Installation	Only with Desktop Experience
Startup type	Automatic
Recommendation	OK to disable
Comments	User service template

 

在Service控制面板可以停用服务，但是无法直接禁用这个服务的，否则它会报“The parameter is incorrect”这个错误。

 

 

如需禁用这些服务，必须去注册表修改启动服务的值，如下所示：

 

 

1、按下WIN+R调出运行，然后输入 regedit 回车;

2、在注册表编辑器中定位到：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

3、找到OneSyncSvc、OneSyncSvc_xxxx等服务（注意，其显示名字可能为Sync Host_xxxx）将start值改为4;

    其中关于数字2/4的意义如下：

        4：表示禁用服务。

        2：表示自动启动

   

 

 

4、退出注册表编辑器，然后重启服务器系统即可（当然，一般不可能立即重启服务器，需要等到下一次服务器重启计划时重启）。

 

 

Zabbix上，找到“监控项”，在过滤条件“名称”中输入“OneSyncSvc”然后点击应用，过滤出这些触发器，然后删除这些触发器即可，当然也可以禁用。任君选择。

 

 

参考资料：

 

 

https://github.com/MicrosoftDocs/windowsserverdocs/blob/master/WindowsServerDocs/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server.md