Windows sunucusunu kim yeniden başlattı (kapattı)?

Planlanmamış bir sunucu yeniden başlatması durumunda, Windows sunucusunu yeniden başlatan veya kapatan belirli kullanıcıyı tanımlayabilirsiniz.

Bunu yapmak için Olay Görüntüleyicisi 'ni ( eventvwr.msc ) açın. Ardından, Windows Günlükleri bölümünde Sistem 'i bulun.

Sağ tıklayın, Geçerli Günlüğü Filtrele olay günlüğü filtresini açın.

EventID filtresini belirtin - 1074 ve "Tamam "a tıklayın.

Artık olay günlüğü yalnızca sunucunuzun yeniden başlatma ve kapatma olaylarını yansıtacaktır.
User32 kaynak olayı Windows'un yeniden başlatılmasını başlatan kullanıcıyı belirtecektir.
Bizim durumumuzda, bu - yönetici.

Günlük aşağıdaki bilgileri içerecektir:

C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) işlemi, WINDOWS2022\Administrator kullanıcısı adına aşağıdaki nedenle WINDOWS2022 bilgisayarının kapatılmasını başlattı: Diğer (Planlanan) Neden Kodu: 0x85000000 Kapatma Türü: güç kapatma Yorum:

Sunucunun yeniden başlatılmasına SİSTEM olarak çalışan Windows hizmetlerinden veya programlarından biri de neden olabilir.
Windows güncellemelerini yükledikten sonra otomatik yeniden başlatma gerçekleştiren wuauserv gibi.
Bu durumda, yeniden başlatmayı gerçekleştiren kullanıcı belirtilecektir - AUTHORITY\SYSTEM.
Örneğin:

C:\Windows\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) işlemi, aşağıdaki nedenden dolayı NT AUTHORITY\SYSTEM kullanıcısı adına WKS-PC11S22 bilgisayarının yeniden başlatılmasını başlatmıştır: İşletim Sistemi: Hizmet paketi (Planlanan) Neden Kodu: 0x80020010 Kapatma Türü: yeniden başlat Yorum:

Windows için bir VMware sanal makinesi kullanırken, VMware Yönetim Konsolu üzerinden"Misafiri Yeniden Başlat" komutunu çalıştırdığınızda,
Windows işletim sistemi kapatma işlemi de -NT AUTHORITY\SYSTEM kullanıcısından gerçekleştirilir çünkü entegrasyon sağlayan VMware Tools hizmetleri sistem ayrıcalıklarıyla çalışır.
Örneğin:

C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (WINDOWS2022) işlemi, aşağıdaki nedenden dolayı NT AUTHORITY\SYSTEM kullanıcısı adına WINDOWS2022 bilgisayarının kapatılmasını başlatmıştır: Eski API kapatması Neden Kodu: 0x80070000 Kapatma Türü: kapatma

PowerShell kullanarak EventID 1074 ile olay günlüğündeki tüm olayların çıktısını almak için aşağıdaki komutu girin:

Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message

Aşağıdakiler dahil olmak üzere son on olay hakkında bilgi sağlayan bir PowerShell komut dosyası da kullanabilirsiniz
sunucuyu yeniden başlatmak veya kapatmaktan sorumlu kullanıcı adları ve işlemler.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action= $_.ReplacementStrings[4]
$rv.Reason =$_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

PowerShell'deki Invoke-Command cmdlet'ini kullanarak, uzak bilgisayarı yeniden başlatan kullanıcının adını alabilirsiniz.
Bunu yapmak için komutu yazın:

Invoke-Command -ComputerName localhost -ScriptBlock {Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft Timegenerated,EventID,Message}

Olay 1074 yalnızca standart sunucu yeniden başlatmalarının nedenini belirlemek için kullanılır. Windows işletim sisteminin yeniden başlatılması
Windows işletim sisteminin elektrik kesintisi veya BSOD gibi anormal bir olaydan kaynaklandığını düşünüyorsanız, EventID 6008 ile olayları analiz etmelisiniz.

Olay günlükleri temizlenmişse
veya eski girdilerin üzerine yeni girdiler yazılmışsa Windows sunucusunu kimin yeniden başlattığını veya kapattığını belirleyemeyeceğinizi unutmayın (daha büyük olay günlükleri yapılandırmanız önerilir)





















































































































































































Щелчок
правой кнопки мыши, открываем фильрт
журнала событий Filtre
Geçerli Günlük;

Указываем фильтр EventID - 1074
и
Tamam;


























































































































































Теперь
в журнале событий будут отражены только
события перезагрузки и выключения
вашего сервера.
В событии от источника
Kullanıcı32
будет
указан пользователь, который инициировал
перезагрузку Windows.
В нашем случае
это - yönetici.

Yönetici
C:\Windows\System32\RuntimeBroker.exe (WINDOWS2022) işlemi
kullanıcı adına WINDOWS2022 bilgisayarının kapatılmasını başlattı
WINDOWS2022\Administrator aşağıdaki nedenle: Diğer (Planlanan)


Sebep
Kod 0x85000000



Kapatma Türü: güç kapalı



Yorum yap:












Так
же перезагрузка сервера может быть
вызвана одной из служб или программ
Pencereler
запущенная
от имени SİSTEM.
Такой как wuauserv ,
который закончил установку обновлений
Windows и выполнил автоматическую
перезагрузку. В этом случае будет указан
пользователь выполнивший перезагрузку
- NT
OTORITE\SISTEM.


При
использовании виртуальной машины VMware
для Windows, при выполнении команды "Yeniden Başlat
Misafir
" через консоль управления VMware,
выключение операционной системы Windows
также осуществляется от пользователя
NT AUTHORITY\SYSTEM, поскольку службы VMware Tools,
обеспечивающие интеграцию, функционируют
с привилегиями системы.


Для того чтобы вывести все события
из журнала событий с EventID 1074 с помощью
PowerShell введите следующую команду:
Get-WinEvent
-FilterHashtable @{logname='System';id=1074}|ft
TimeCreated,Id,Mesaj


КАРТИНКИ
НЕТ
Get-Eventlog -Logname System |? {(1074) -contains
$_.EventID} | ft Timegenerated,EventID,Message


Вы
можете использовать скрипт PowerShell,
который предоставляет информацию о
последних десяти событиях, включая
имена пользователей и процессы,
ответственные за перезагрузку или
выключение сервера.
Get-EventLog
-LogName Sistem |
where {$_.EventId -eq 1074} |select-object
-ilk 10 |
ForEach-Object {
$rv = New-Object PSObject |
Select-Object Tarih, Kullanıcı, Eylem, süreç, Sebep, SebepKodu










Eğer
($_.ReplacementStrings[4]) {
$rv.Tarih =
$_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.İşlem
= $_.ReplacementStrings[0]
$rv.Action =
$_.ReplacementStrings[4]
$rv.Sebep =
$_.ReplacementStrings[2]
$rv
}
} | Nesne Seç Tarihi,
Eylem, Sebep, Kullanıcı, Süreç |ft





С
помощью командлета
Çağır-Komut
из
PowerShell
можно получить имя пользователя, который
перезагрузил удаленный компьютер. Для
этого введите команду:
Çağır-Komut
-ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable
@{logname=’System’;id=1074} |select-object TimeCreated,Id,Message
-ilk 1}


КАРТИНКИ
НЕТ
Invoke-Command -ComputerName localhost -ScriptBlock
{Get-Eventlog -Logname System |? {(1074) -contains $_.EventID} | ft
Timegenerated,EventID,Message}


Событие
1074 используется исключительно для
выявления причин стандартных перезагрузок
сервера. Если перезагрузка операционной
системы Windows была вызвана нештатным
событием, таким как сбой питания или
появление "синего экрана смерти"
(BSOD), в таком случае следует анализировать
события с кодом EventID 6008.

Отметим, что вы не сможете определить
кто перезагрузил или выключил сервер
Windows, если журналы событий были очищены
или старые записи были перезаписаны
более новыми ( рекомендуется настроить
увеличенный размер журналов событий
).