Content

Chi ha riavviato (spento) il server Windows?


In caso di riavvio non pianificato del server, è possibile identificare l'utente specifico che ha riavviato o spento il server Windows.

A tale scopo, aprire Visualizzatore eventi ( eventvwr.msc ). Individuare quindi Sistema nella sezione Registri di Windows.

Fare clic con il pulsante destro del mouse e aprire il filtro del registro eventi Filtro registro corrente.


Chi ha riavviato (spento) il server Windows?


Specificare il filtro EventID - 1074 e fare clic su "OK".

Chi ha riavviato (spento) il server Windows?


Ora il registro eventi rifletterà solo gli eventi di riavvio e spegnimento del server.
L'evento sorgente User32 specificherà l'utente che ha avviato il riavvio di Windows.
Nel nostro caso, si tratta dell'amministratore.

Il diario conterrà le seguenti informazioni:

Il processo C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) ha avviato lo spegnimento del computer WINDOWS2022 per conto dell'utente WINDOWS2022\Administrator per il seguente motivo: Altro (pianificato) Codice motivo: 0x85000000 Tipo di spegnimento: spegnimento Commento:

Chi ha riavviato (spento) il server Windows?


Un riavvio del server può anche essere causato da uno dei servizi o programmi di Windows in esecuzione come SYSTEM.
Ad esempio wuauserv, che dopo l'installazione degli aggiornamenti di Windows esegue un riavvio automatico.
In questo caso, l'utente che ha eseguito il riavvio sarà specificato come AUTORITÀ SISTEMA.
Ad esempio:

Il processo C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) ha avviato il riavvio del computer WKS-PC11S22 per conto dell'utente NT AUTHORITY\SYSTEM per il seguente motivo: Sistema operativo: Service pack (pianificato) Codice motivo: 0x80020010 Tipo di arresto: riavvio Commento:

Quando si utilizza una macchina virtuale VMware per Windows, quando si esegue il comando"Riavvia Guest" tramite VMware Management Console,
lo spegnimento del sistema operativo Windows viene eseguito anche dall'utente -NT AUTHORITY\SYSTEM perché i servizi VMware Tools che forniscono l'integrazione funzionano con privilegi di sistema.
Ad esempio:

Il processo C:´Program Files\VMware\VMware Tools\vmtoolsd.exe (WINDOWS2022) ha avviato lo spegnimento del computer WINDOWS2022 per conto dell'utente NT AUTHORITY\SYSTEM per il seguente motivo: Arresto API legacy Codice motivo: 0x80070000 Tipo di spegnimento: shutdown


Per visualizzare tutti gli eventi del registro eventi con EventID 1074 utilizzando PowerShell, immettere il seguente comando:

Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message

Chi ha riavviato (spento) il server Windows?


È inoltre possibile utilizzare uno script PowerShell che fornisce informazioni sugli ultimi dieci eventi, compresi i nomi degli utenti e dei processi responsabili della riaccensione.
nomi degli utenti e dei processi responsabili del riavvio o dello spegnimento del server.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action= $_.ReplacementStrings[4]
$rv.Reason =$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Chi ha riavviato (spento) il server Windows?


Utilizzando il cmdlet Invoke-Command di PowerShell, è possibile ottenere il nome dell'utente che ha riavviato il computer remoto.
A tale scopo, digitare il comando:

Invoke-Command -ComputerName localhost -ScriptBlock {Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message}

Chi ha riavviato (spento) il server Windows?


L'evento 1074 viene utilizzato esclusivamente per identificare la causa dei riavvii standard del server. Se un riavvio del sistema operativo Windows
Windows è stato causato da un evento anomalo, come un'interruzione di corrente o un BSOD, è necessario analizzare gli eventi con EventID 6008.

Si noti che non sarà possibile determinare chi ha riavviato o spento il server Windowsse i registri eventi sono stati ripuliti
o le vecchie voci sono state sovrascritte da voci più recenti (si consiglia di configurare registri eventi più grandi).





















































































































































































Щелчок
правой кнопки мыши, открываем фильрт
журнала событий Filtro
Registro corrente;

Указываем фильтр EventID - 1074
и
нажмимаем OK;


























































































































































Теперь
в журнале событий будут отражены только
события перезагрузки и выключения
вашего сервера.
В событии от источника
Utente32
будет
указан пользователь, который иницировал
перезагрузку Windows.
В нашем случае
это - amministratore.

Il
processo C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) ha avviato lo spegnimento del computer WINDOWS2022.
ha avviato lo spegnimento del computer WINDOWS2022 per conto dell'utente
WINDOWS2022´Administrator per il seguente motivo: Altro (pianificato)


Motivo
Codice: 0x85000000



Tipo di arresto: spegnimento



Commento:












Так
же перезагрузка сервера может быть
вызвана одной из служб или программ
Finestre
запущенная
от имени SISTEMA.
Такой как wuauserv ,
который закончил установку обновлений
Windows и выполнил автоматическую
перезагрузку. В этом случае будет указан
пользователь выполнивший перезагрузку
- NT
SISTEMA DI AUTORITÀ.


При
использовании виртуальной машины VMware
для Windows, при выполнении команды "Riavvia
Ospite
" через консоль управления VMware,
выключение операционной системы Windows
также осуществляется от пользователя
NT AUTHORITY\SYSTEM, поскольку службы VMware Tools,
обеспечивающие интеграцию, функционируют
с привилегиями системы.


Для того чтобы вывести все события
из журнала событий с EventID 1074 с помощью
PowerShell введите следующую команду:
Get-WinEvent
-FilterHashtable @{logname='System';id=1074}|ft
TempoCreato,Id,Messaggio


КАРТИНКИ
НЕТ
Get-Eventlog -Logname System |? {(1074) -contiene
$_.EventID} | ft Timegenerato,EventID,Messaggio


Вы
можете использовать скрипт PowerShell,
который предоставляет информацию о
последних десяти событиях, включая
имена пользователей и процессы,
ответственные за перезагрузку или
выключение сервера.
Get-EventLog
-NomeLog Sistema |
dove {$_.EventId -eq 1074} |Selezionare l'oggetto
-primo 10 |
ForEach-Object {
$rv = Nuovo oggetto PSObject |
Seleziona l'oggetto Data, Utente, Azione, Processo, Motivo, Codice motivo










se
($_.ReplacementStrings[4]) {
$rv.Date =
$_.TimeGenerated
$rv.Utente = $_.ReplacementStrings[6]
$rv.Processo
= $_.ReplacementStrings[0]
$rv.Azione =
$_.ReplacementStrings[4]
$rv.Reason =
$_.ReplacementStrings[2]
$rv
}
} | Selezionare l'oggetto Data,
Azione, Motivo, Utente, Processo |ft





С
помощью командлета
Invoca-Comando
из
PowerShell
можно получить имя пользователя, который
перезагрузил удаленный компьютер. Для
этого введите команду:
Invoke-Command
-NomeComputer rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable
@{logname=’System’;id=1074} |select-object TimeCreated,Id,Message
-primo 1}


КАРТИНКИ
НЕТ
Invoke-Command -ComputerName localhost -ScriptBlock
{Get-Eventlog -Logname System |? {(1074) -contiene $_.EventID} | ft
Timegenerated,EventID,Message}


Событие
1074 используется исключительно для
выявления причин стандартных перезагрузок
сервера. Если перезагрузка операционной
системы Windows была вызвана нештатным
событием, таким как сбой питания или
появление "синего экрана смерти"
(BSOD), в таком случае следует анализировать
события с кодом EventID 6008.

Отметим, что вы не сможете определить
кто перезагрузил или выключил сервер
Windows, если журналы событий были очищены
или старые записи были перезаписаны
более новыми ( рекомендуется настроить
увеличенный размер журналов событий
).