Content

¿Quién ha reiniciado (apagado) el servidor Windows?


En caso de que se produzca un reinicio imprevisto del servidor, puede identificar al usuario concreto que reinició o apagó el servidor Windows.

Para ello, abra el Visor de sucesos ( eventvwr.msc ). A continuación, localice Sistema en la sección Registros de Windows.

Haga clic con el botón derecho y abra el filtro de registro de eventos Filtro de registro actual.


¿Quién ha reiniciado (apagado) el servidor Windows?


Especifique el filtro EventID - 1074 y haga clic en "Aceptar".

¿Quién ha reiniciado (apagado) el servidor Windows?


Ahora el registro de eventos sólo reflejará los eventos de reinicio y apagado de su servidor.
El evento fuente User32 especificará el usuario que inició el reinicio de Windows.
En nuestro caso, es - administrador.

El diario contendrá la siguiente información

El proceso C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) ha iniciado el apagado del ordenador WINDOWS2022 en nombre del usuario WINDOWS2022\Administrator por la siguiente razón:Other (Planned) Reason Code: 0x85000000 Tipo de apagado: apagado Comentario:

¿Quién ha reiniciado (apagado) el servidor Windows?


Un reinicio del servidor también puede ser causado por alguno de los servicios o programas de Windows que se ejecutan como SYSTEM.
Como por ejemplo wuauserv, que tras instalar las actualizaciones de Windows realiza un reinicio automático.
En este caso, se especificará el usuario que realizó el reinicio- AUTORIDAD\SISTEMA.
Por ejemplo:

El proceso C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) ha iniciado el reinicio del equipo WKS-PC11S22 en nombre del usuario NT AUTHORITY\SYSTEM por el siguiente motivo: Sistema operativo: Service pack (Planificado) Código de motivo: 0x80020010 Tipo de apagado: reinicio Comentario:

Cuando se utiliza una máquina virtual VMware para Windows, al ejecutar el comando"Reiniciar Guest" a través de la Consola de Administración de VMware,
el apagado del sistema operativo Windows también se realiza desde el usuario -NT AUTHORITY\SYSTEM porque los servicios de VMware Tools que proporcionan integración funcionan con privilegios de sistema.
Por ejemplo:

El proceso C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (WINDOWS2022) ha iniciado el apagado del equipo WINDOWS2022 en nombre del usuario NT AUTHORITY\SYSTEM por el siguiente motivo: Apagado de API heredada Reason Code: 0x80070000 Tipo de Apagado: Apagado


Para mostrar todos los eventos del registro de eventos con EventID 1074 utilizando PowerShell, introduzca el siguiente comando:

Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message

¿Quién ha reiniciado (apagado) el servidor Windows?


También puede utilizar un script de PowerShell que proporcione información sobre los últimos diez eventos, incluyendo
los nombres de usuario y procesos responsables de reiniciar o apagar el servidor.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action= $_.ReplacementStrings[4]
$rv.Reason =$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

¿Quién ha reiniciado (apagado) el servidor Windows?


Utilizando el cmdlet Invoke-Command de PowerShell, puede obtener el nombre del usuario que reinició el equipo remoto.
Para ello, escriba el comando

Invoke-Command -ComputerName localhost -ScriptBlock {Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message}

¿Quién ha reiniciado (apagado) el servidor Windows?


Elevento 1074 se utiliza únicamente para identificar la causa de los reinicios estándar del servidor. Si un reinicio del sistema operativo Windows
sistema operativo Windows fue causado por un evento anormal, como una falla de energía o BSOD, usted debe analizar eventos con EventID 6008.

Tenga en cuenta que no podrá determinar quién reinició o apagó el servidor Windowssi los registros de eventos se han limpiado
o las entradas antiguas se han sobrescrito con entradas más nuevas (se recomienda configurar registros de eventos más grandes)





















































































































































































Щелчок
правой кнопки мыши, открываем фильрт
журнала событий Filtro
Registro actual;

Указываем фильтр EventID - 1074
и
нажмимаем OK;


























































































































































Теперь
в журнале событий будут отражены только
события перезагрузки и выключения
вашего сервера.
В событии от источника
Usuario32
будет
указан пользователь, который инициировал
перезагрузку Windows.
В нашем случае
это - administrador.

El
proceso C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) ha
iniciado el apagado del ordenador WINDOWS2022 en nombre del usuario
WINDOWS2022\Administrador por el siguiente motivo: Otro (previsto)


Motivo
Código 0x85000000



Tipo de apagado: power off



Comentario:












Так
же перезагрузка сервера может быть
вызвана одной из служб или программ
Windows
запущенная
от имени SYSTEM.
Такой как wuauserv ,
который закончил установку обновлений
Windows и выполнил автоматическую
перезагрузку. В этом случае будет указан
пользователь выполнивший перезагрузку
- NT
AUTORIDAD.


При
использовании виртуальной машины VMware.
для Windows, при выполнении команды "Reiniciar
Invitado
" через консоль управления VMware,
выключение операционной системы Windows.
также осуществляется от пользователя
NT AUTHORITY\SYSTEM, поскольку службы VMware Tools,
обеспечивающие интеграцию, функционируют
с привилегиями системы.


Для того чтобы вывести все события
из журнала событий с EventID 1074 с помощью
PowerShell введите следующую команду:
Get-WinEvent
-FilterHashtable @{logname='System';id=1074}|ft
HoraCreado,Id,Mensaje


КАРТИНКИ
НЕТ
Get-Eventlog -Logname Sistema |? {(1074) -contiene
$_.EventID} | ft Timegenerated,EventID,Message


Вы
можете использовать скрипт PowerShell,
который предоставляет информацию о
последних десяти событиях, включаяя
имена пользователей и процессы,
ответственные за перезагрузку или
выключение сервера.
Get-EventLog
-LogName Sistema |
where {$_.EventId -eq 1074} |select-object
-first 10
ForEach-Object {
$rv = Nuevo-Objeto PSObject |
Select-Object Fecha, Usuario, Acción, Proceso, Razón, ReasonCode










si
($_.ReplacementStrings[4]) {
$rv.Fecha =
$_.HoraGenerada
$rv.Usuario = $_.ReplacementStrings[6]
$rv.Proceso
= $_.ReplacementStrings[0]
$rv.Acción =
$_.ReplacementStrings[4]
$rv.Razón =
$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date,
Acción, Razón, Usuario, Proceso |ft





С
помощью командлета
Invocar-Comando
из
PowerShell
можно получить имя пользователя, который
перезагрузил удаленный компьютер. Для
этого введите команду:
Invocar-Comando
-ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable
@{logname=’System’;id=1074} |select-object TimeCreated,Id,Message
-first 1}


КАРТИНКИ
НЕТ
Invoke-Command -ComputerName localhost -ScriptBlock
{Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft
Timegenerated,EventID,Message}


Событие
1074 используется исключительно для
выявления причин стандартных перезагрузок
сервера. Если перезагрузка операционной
системы Windows была вызвана нештатным
событием, таким как сбой питания или
появление "синего экрана смерти"
(BSOD), в таком случае следует анализировать
события с кодом EventID 6008.

Отметим, что вы не сможете определить
кто перезагрузил или выключил сервер
Windows, если журналы событий были очищены
или старые записи были перезаписаны
более новыми ( рекомендуется настроить
увеличенный размер журналов событий
).