Kdo je ponovno zagnal (izklopil) strežnik Windows?

V primeru nenačrtovanega ponovnega zagona strežnika lahko določite posameznega uporabnika, ki je ponovno zagnal ali izklopil strežnik Windows.

To storite tako, da odprete pregledovalnik dogodkov ( eventvwr.msc ). Nato v razdelku Windows Logs poiščite System (Sistem) .

Kliknite z desnim gumbom miške in odprite filter Filter Current Log (Filtriranje tekočega dnevnika).

Določite filter EventID - 1074 in kliknite "V redu".

Zdaj bodo v dnevniku dogodkov prikazani samo dogodki ponovnega zagona in izklopa strežnika.
Izvorni dogodek User32 bo določil uporabnika, ki je sprožil ponovni zagon sistema Windows.
V našem primeru je to administrator.

Dnevnik bo vseboval naslednje informacije:

Proces C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) je v imenu uporabnika WINDOWS2022\Administrator sprožil izklop računalnika WINDOWS2022 iz naslednjega razloga: Other (Planned) Reason Code: 0x85000000 Vrsta izklopa: izklop Komentar: Izklopi se:

Vnovični zagon strežnika lahko povzroči tudi ena od storitev ali programov sistema Windows, ki se izvajajo kot SISTEM.
Na primer wuauserv, ki po namestitvi posodobitev sistema Windows in izvede samodejni ponovni zagon.
V tem primeru bo uporabnik, ki je izvedel ponovni zagon, naveden kot AUTHORITY\SYSTEM.
Na primer:

Proces C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) je v imenu uporabnika NT AUTHORITY\SYSTEM začel ponovni zagon računalnika WKS-PC11S22 iz naslednjega razloga: Operacijski sistem: Koda razloga: Service Pack (Planned): 0x80020010 Vrsta zaustavitve: ponovni zagon Komentar:

Pri uporabi navideznega stroja VMware za Windows, ko prek konzole za upravljanje VMware izvedete ukaz"Restart Guest",
se zaustavitev operacijskega sistema Windows izvede tudi iz uporabniškega imena -NT AUTHORITY\SYSTEM, saj storitve VMware Tools, ki zagotavljajo integracijo, delujejo s sistemskimi privilegiji.
Na primer:

Proces C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (WINDOWS2022) je v imenu uporabnika NT AUTHORITY\SYSTEM začel izklop računalnika WINDOWS2022 iz naslednjega razloga: Koda razloga: 0x80070000 Vrsta zaustavitve: zaustavitev

Če želite izpisati vse dogodke iz dnevnika dogodkov z EventID 1074 z uporabo PowerShell, vnesite naslednji ukaz:

Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message

Uporabite lahko tudi skripto PowerShell, ki zagotavlja informacije o zadnjih desetih dogodkih, vključno z
uporabniška imena in procese, odgovorne za ponovni zagon ali izklop strežnika.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action= $_.ReplacementStrings[4]
$rv.Reason =$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Z uporabo cmdlet Invoke-Command iz okolja PowerShell lahko dobite ime uporabnika, ki je ponovno zagnal oddaljeni računalnik.
To storite tako, da vnesete ukaz:

Invoke-Command -ComputerName localhost -ScriptBlock {Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message}

Dogodek 1074 se uporablja izključno za ugotavljanje vzroka standardnega ponovnega zagona strežnika. Če je ponovni zagon operacijskega sistema Windows
operacijskega sistema Windows povzročil nenormalen dogodek, kot je izpad napajanja ali BSOD, morate analizirati dogodke z EventID 6008.

Upoštevajte, da ne boste mogli ugotoviti, kdo je ponovno zagnal ali izključil strežnik Windows,če so bili dnevniki dogodkov očiščeni
ali so bili stari vnosi prepisani z novejšimi vnosi (priporočljivo je konfigurirati večje dnevnike dogodkov)





















































































































































































Щелчок
правойчки мыши, открываем фильрт
Filter za spremljanje dogodkov
Trenutni dnevnik;

Указываем фильтр EventID - 1074
и
нажмимаем OK;


























































































































































Теперь
v журнале событий будут отражены только
события перезагрузки и выключения
vašega strežnika.
В событии от источника
Uporabnik32
bo
указан пользователь, который инициировал
Začetek delovanja sistema Windows.
V našem primeru
to - administrator.

Spletna stran
C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) ima
začel izklop računalnika WINDOWS2022 v imenu uporabnika
WINDOWS2022\Administrator iz naslednjega razloga: Drugo (načrtovano)


Razlog
Koda: 0x85000000



Vrsta zaustavitve: izklop



Pripomba: Izklopi se:












Tak
же перезагрузка сервера может быть
вызвана одной из служб или программ
Windows
запущенная
от имени SYSTEM.
Такой как wuauserv ,
который закончил установку обновлений
Windows и выполнил автоматическую
Za to je treba sprejeti ustrezne ukrepe. V tem primeru будет указан
пользователь выполнивший перезагрузку
- NT
ORGAN\SISTEM.


Pri
Uporaba virtualne opreme VMware
za operacijski sistem Windows, pri izvajanju storitve "Ponovni zagon
Guest ".
" preko консоль управления VMware,
выключение операционной sisteme Windows
Poleg tega осуществляется od пользователя
NT AUTHORITY\SYSTEM, поскольку storitve VMware Tools,
обеспечивающие integrцию, функциониrajo
s привилегиями системы.


Za to, da bi вывести все события
из журнала событий с EventID 1074 с помощью
PowerShell vведите следующую команду:
Get-WinEvent
-FilterHashtable @{logname='System';id=1074}|ft
TimeCreated,Id,Message


КАРТИНКИ
NEТ
Get-Eventlog -Logname System |? {(1074) -obsega
$_.EventID} | ft Timegenerated,EventID,Message


Вы
можете uporabiti скрипт PowerShell,
kateri zagotavlja informacije o
zadnjih десяти dogodkovх, включая
imena uporabnikov и процессы,
ответственные за перезагрузку или
выключение сервера.
Get-EventLog
-LogName System |
where {$_.EventId -eq 1074} |select-object
-first 10 |
ForEach-Object {
$rv = New-Object PSObject |
Select-Object Datum, Uporabnik, Ukrep, proces, Razlog, ReasonCode










če
($_.ReplacementStrings[4]) {
$rv.Date =
$_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process
= $_.ReplacementStrings[0]
$rv.Action =
$_.ReplacementStrings[4]
$rv.Reason =
$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date,
Ukrep, Razlog, Uporabnik, Proces |ft





С
Pomoč командleta
Invoke-Command
iz
PowerShell
lahko dobite ime uporabnika, ki
перезагрузил удаленный компьютер. Za
этого введите команду:
Invoke-Command
-ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable
@{logname=’System’;id=1074} |select-object TimeCreated,Id,Message
-first 1}


КАРТИНКИ
NEТ
Invoke-Command -ComputerName localhost -ScriptBlock
{Get-Eventlog -Logname System |? {(1074) -vsebuje $_.EventID} | ft
Timegenerated,EventID,Message}


Событие
1074 используется izključno za
выявления причин standardных перезагрузок
strežnik. Если перезагрузка операционной
Sistemi Windows была вызвана нештатным
событием, таким как сбой питания или
pojasnilo "синего экрана смерти"
(BSOD), v таком случае следует анализировать
события с кодом EventID 6008.

Отметим, что вы не сможете определить
кто перезагрузил или выключил сервер
Windows, če журналы событий были очищены
или старые записи были перезаписаны
более новыми ( priporočljivo настроить
increasedченный размер журналов событий
).