Как узнать кто перезагрузил сервер 2018: Как узнать, кто перезагрузил (выключил) сервер Windows?

Как узнать, кто перезагрузил (выключил) сервер Windows?

Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.

Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.

  1. Откройте консоль Event Viewer (
    eventvwr.msc
    ) и перейдите в раздел Windows Logs -> System;
  2. Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log;
  3. В поле фильтра укажите EventID 1074 и нажмите OK;
  4. В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;
  5. В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a. novak.
The process C:\Windows\Explorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPRO\a.novak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:

С помощью GPO можно разрешить обычным пользователям (без прав администратора) перезагружать Windows Server.

Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITY\SYSTEM.

Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы
wuauserv
, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.

The process C:\Windows\uus\AMD64\MoUsoCoreWorker. exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:

Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:

The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown

В этом случае выключение Windows также инициировано NT AUTHORITY\SYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.

Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:

Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message

Команда вернула описания всех событий перезагрузки и выключения Windows.

Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:

Invoke-Command -ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}

По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.

The previous system shutdown at 4:34:49 AM on ‎1/‎17/‎2022 was unexpected.

И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).

Как проверить последнюю перезагрузку на Windows Server

Из-за корпоративной природы Windows Server пользователи обычно более технически подкованы и заинтересованы в подробностях, касающихся производительности. Одна из тех интересных вещей, которые нужно знать, это как проверить время последней перезагрузки на Windows Server или как запланировать перезагрузку. Мы обязательно проинструктировали вас об этом ниже.

1. Используйте журнал системных событий

Вы можете использовать журнал системных событий, чтобы узнать, когда была последняя перезагрузка Windows Server. Эта процедура довольно проста, так как единственное важное — выделить одно событие.

Выполните следующие действия, чтобы узнать, когда была последняя перезагрузка с помощью утилиты System Event Log:

  1. Откройте Event Viewer из меню «Пуск».
  2. В крайнем правом окне выберите « Создать пользовательский вид» .
  3. В раскрывающемся меню «Журнал» выберите « Журналы Windows» .
  4. Под <Все идентификаторы событий> добавьте только 6009 .
  5. Создайте собственный вид.
  6. Теперь вы можете видеть, сколько раз ваш компьютер перезагружался с момента установки системы, что является отличной функцией.

2. Используйте командную строку

Кроме того, вы можете использовать определенную команду командной строки, чтобы проверить, когда в последний раз происходила перезагрузка Windows Server. Вы также можете проверить время работы вашего сервера с помощью аналогичной команды.

Выполните следующие действия, чтобы проверить последнюю перезагрузку через командную строку:

  1. Откройте командную строку как администратор.
  2. В командной строке скопируйте и вставьте следующую команду и нажмите Enter:
    systeminfo | find / i «Время загрузки»
  3. Вы должны увидеть последний раз, когда ваш компьютер был перезагружен.

Если вы столкнулись с ситуацией, требующей устранения проблем с загрузкой Windows Server, узнайте, что делать здесь.

3. Запланируйте перезагрузку с запланированными задачами

Если вы заинтересованы в автоматизации последовательности перезагрузки, вы можете сделать это, создав запланированное задание. Если вы не знакомы с ним, вот как запланировать перезагрузку на Windows Server с помощью утилиты запланированных задач:

  1. Откройте « Запланированные задачи» из меню «Пуск».
  2. Выберите Добавить новую запланированную задачу и нажмите Далее .
  3. На экране выбора программы перейдите к C: WINDOWSSystem32shutdown.exe .
  4. Выберите shutdown.exe и назовите задачу shutdown .
  5. Выберите частоту отключения .
  6. Выберите время и день, когда произойдет запланированная перезагрузка.
  7. Введите свои административные учетные данные и подтвердите.
  8. Теперь установите флажок « Открыть дополнительные параметры», когда я нажимаю «Готово» и нажимаю « Готово» .
  9. Наконец, когда появляется новое окно, скопируйте и вставьте следующую команду и замените команду по умолчанию:
    C : WINDOWSsystem32shutdown.exe -r -f -t 01
  10. Выберите Применить, и все готово.
  11. Позже вы можете проверить, когда в последний раз происходила перезагрузка Windows Server, с помощью одного из первых двух шагов.

СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ ВЫ ДОЛЖНЫ УЗНАТЬ:

  • ИСПРАВЛЕНИЕ: ключ продукта Windows Server Change не работает
  • Хотите сделать резервную копию Windows Server? Вот как это сделать
  • ИСПРАВЛЕНИЕ: администратор сервера Windows не имеет разрешения

Как узнать, кто перезапустил Windows Server

Перейти к содержимому

Ищи:

Windows Windows Server

Мэтью

Средство просмотра журнала событий Windows Server

Если в вашей организации много системных администраторов, вам может понадобиться узнать, кто перезапускал сервер в определенное время. Этот пост покажет вам, как просматривать журналы выключения/перезагрузки/запуска на серверах Windows. В Windows есть отличное приложение под названием Windows Event Viewer, которое записывает все действия, происходящие на компьютере.

Служба журнала событий, являющаяся основной службой Windows, управляет средством просмотра событий Windows. Средство просмотра событий записывает историю запуска и завершения службы журнала событий. Он отслеживает активность каждого пользователя во время работы машины. На Windows Server/Desktop и ПК он регистрирует ошибки, информационные сообщения и предупреждения.

Вот другие связанные руководства по Windows Server: Как удалить Internet Explorer с ПК с Windows или Windows Server, Как установить Windows Server 2022 на VirtualBox, Как установить IIS веб-сервера в Windows Server 2019, Сетевая файловая система: как установить NFS Server на Windows Server и как перенести роли и функции на Windows Server 2022 с помощью WSMT.

Наиболее частые события запуска и завершения работы

Существует несколько событий, связанных с выключением и перезапуском ПК с Windows. Однако в этом посте мы покажем вам наиболее распространенные события:

  • Идентификатор события 41: указывает, что ваш компьютер с Windows перезагрузился без полного выключения.
  • Идентификатор события 6005:  Этот код указывает на запуск службы журнала событий.
  • Идентификатор события 1074:  Ваш компьютер регистрирует это событие каждый раз, когда программа перезагружает или выключает ноутбук. Кроме того, это событие позволяет узнать, когда пользователь перезагрузил или выключил компьютер с помощью меню «Пуск» или сочетания клавиш CTRL+ALT+DEL.
  • Идентификатор события 6006:  Если ваш ПК с Windows выключается должным образом, это событие записывается.
  • Идентификатор события 6008 : это событие иногда появляется в системном журнале, когда ваша машина внезапно или неожиданно выключается.
  • Идентификатор события 6009:  Определяет название продукта Windows, версию, номер сборки, номер пакета обновления и тип операционной системы, обнаруженный во время загрузки.
  • Идентификатор события 1076:  Отслеживает первый раз, когда пользователь с разрешениями на завершение работы входит в компьютер после неожиданного перезапуска или завершения работы, а также причину этого события.

Как просмотреть журнал выключения и перезапуска из средства просмотра событий

Давайте рассмотрим весь процесс получения этих данных из средства просмотра событий Windows.

Чтобы открыть средство просмотра событий, нажмите Win + R , чтобы открыть диалоговое окно «Выполнить», и введите eventvwr .

Диалоговое окно «Выполнить»

На левой панели щелкните Журналы Windows и выберите Система . Вы увидите список событий, произошедших во время работы Windows, на центральной панели. Нажмите на Event ID Метка для сортировки данных по столбцу Event ID.

Средство просмотра событий

Если журнал событий большой, сортировка не удастся. Вы также можете создать фильтр, используя панель «Действия» справа. Просто выберите «Фильтровать текущий журнал».

Фильтрация журнала событий

В поле «Идентификаторы событий» введите 1074 или любой идентификатор события. В разделе «Зарегистрировано» вы также можете выбрать период времени.

Фильтр журнала событий

После выполнения всех процедур средство просмотра событий Windows будет отображать только события, связанные с завершением работы.

Как просмотреть журнал выключения и перезагрузки с помощью Windows PowerShell

Команду PowerShell Get-EventLog можно использовать для получения журналов выключения и перезагрузки в Windows из командной строки.

Введите, например, следующую команду, чтобы отфильтровать 10 000 последних записей в журнале системных событий:

  Get-EventLog System -Newest 10000 | ` Где EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | ` Таблица форматов TimeGenerated, EventId, UserName, Message -AutoSize -wrap

Выполните следующую команду, чтобы просмотреть только события, связанные с выключением и перезапуском Windows:

  Get-WinEvent -FilterHashtable @{logname = 'System'; идентификатор = 1074} | Format-Table -wrap

Надеюсь, вы найдете этот пост полезным. Если у вас есть какие-либо вопросы, не стесняйтесь оставлять их в разделе комментариев ниже.

Теги: Event Viewer журнал событий Windows Windows 10 Windows 11 Windows Server Windows Server 2012 Windows Server 2016 Windows Server 2019

Как узнать, кто или когда выполнил событие перезагрузки Windows Server

Все о средстве миграции SharePoint (SPMT)

Веб-части редактора сценариев/содержимого отсутствуют в SharePoint

ноябрь
26

Иногда событие перезагрузки сервера может произойти неожиданно. Независимо от того, являетесь ли вы системным администратором, владельцем приложения или просто ИТ-специалистом, вы несете ответственность за некоторые действия, происходящие на ваших серверах.

Информация о том, кто, где и когда очень важна для получения полной информации о действиях, происходящих на серверах. Это помогает определить любую желаемую/нежелательную активность. одним из таких действий является перезагрузка сервера.

Если вы ищете способ захвата

  • Кто перезагружал сервер
  • Когда сервер перезагружался
  • Как получить оповещение по электронной почте при перезагрузке сервера,

    1 9 0

    Ниже приведена вся необходимая информация.

    Записывается событие, когда приложение вызывает перезагрузку системы или когда пользователь инициирует перезагрузку или завершение работы, щелкнув Пуск или нажав CTRL+ALT+DELETE, а затем нажав Завершение работы.

    Кто перезагружал сервер

    Чтобы узнать, кто перезагружал сервер Windows

    Войдите в Windows Server.
    Запустите средство просмотра событий (введите eventvwr в run).
    В консоли просмотра событий разверните Журналы Windows.
    Нажмите «Система» и на правой панели нажмите «Фильтровать текущий журнал».

    Событие перезагрузки сервера

    В поле Фильтр текущего журнала введите 1074 в качестве идентификатора события. Это отфильтрует события, и вы увидите события только с идентификатором 1074.

    Событие перезагрузки сервера с идентификатором

    Теперь мы можем увидеть событие с идентификатором 1074.

    Сведения о событии перезагрузки сервера

    Дважды щелкните недавнее событие. В окне свойств события вы можете увидеть человека, инициировавшего перезагрузку сервера.

    Нажмите  Закрыть .

    Событие перезагрузки сервера Подробнее

    При перезагрузке сервера

    Если вы являетесь пользователем Windows и хотите знать, когда ваш компьютер/сервер в последний раз перезагружался, то с помощью простой команды вы можете получить подробности.

    Используйте команду systeminfo для получения информации о системе. перезагрузился в последний раз, и это называется временем загрузки системы.

    Вы также можете отфильтровать время загрузки напрямую, используя следующую команду

     systeminfo | найти «Время загрузки системы»

    Systeminfo CommandSystem Время загрузки

    Получить предупреждение о перезагрузке сервера

    Если вы хотите получать уведомления о перезагрузке сервера, вам необходимо выполнить следующие шаги.

    Напишите сценарий powershell, чтобы при запуске сценария он проверял время работы сервера и, если время работы недавнее, скажем, менее последних 30 минут, затем отправляло уведомление по электронной почте.

    Затем настройте планировщик задач с помощью сценария и запланируйте выполнение задачи каждые 30 минут.

    Эту настройку необходимо выполнить на серверах, для которых требуется уведомление.

     $Компьютер = $env:ИМЯКОМПЬЮТЕРА
     $Date = Get-Date -Format "дд-мм-гггг ЧЧ:мм:сс"
     $os = Get-WmiObject -Класс win32_operatingsystem
     $Boottime = $os.ConvertToDateTime($os.LastBootUpTime)
     $uptime = (получить дату) - $os.ConvertToDateTime($os.LastBootUpTime)
     $UptimeMin = [math]::Round($Uptime.TotalMinutes)
     $FromAddress = $Компьютер +"@domain.com"
     $eMailSubject = "***Предупреждение о перезагрузке системы*** Система:$Компьютер перезагружен $UptimeMin минут назад"
     $eMailBody = "Компьютер $Computer недавно был перезагружен"
     $recipients = ("[email protected]")
     $eMailServer = "BW-EXCAS.