如何找出重启Windows服务器的人
在这篇文章中,我将告诉你如何重新启动Windows Server。如果你在一家大公司工作,你的安装中可能有很多Windows服务器。确保服务器正常工作是系统管理员的职责。
有时候事情并不顺利。假设您收到一封电子邮件,说服务器已重新启动,需要对此进行调查。
您不能询问每个IT人员是谁发起了服务器重新启动。那么如何找到重启Windows Server的人呢?
是的,有一种方法可以做到。如果你想知道是谁重启了windows服务器,这篇文章将会派上用场。当然事件查看器是我们寻找信息的地方。
PatchMyPC赞助广告
有一种东西叫做as关机事件跟踪器.这将允许管理员跟踪用户启动关机或重新启动的原因。
它还收集了用户重启或关闭计算机的原因。关于它的更多信息在文档中在这里.
如何找出重启Windows服务器的人
找出重启windows服务器的人:-
- 登录Windows Server。
- 启动事件查看器(类型为eventvwr在运行)。
- 在事件查看器控制台中展开Windows日志。
- 点击系统在右侧窗格中单击过滤当前日志.
在“过滤当前日志”框中,键入1074作为事件ID。这将过滤事件,您将只看到ID为1074的事件。
我们现在可以看到ID为1074的事件。
双击最近的事件。在事件属性框中,您可以看到发起服务器重新启动的人。
C:\Windows\System32\RuntimeBroker.exe (CORPAD)进程代表用户PRAJWAL\sccmadmin启动了计算机CORPAD的重新启动,原因如下:
原因码:0x5000000
关机类型:restart
备注:
点击关闭.
这个指南真的很有帮助。谢谢Prajwhth华体会体育全站al Desai
我如何处理一个情况,其中日志是可用的,并指向一个工作站,其中远程重新启动。没有摄像头,门是开着的,房间里有三个工作人员有密码。他们都否认重启了服务器。
Get-EventLog -LogName System -UserName DOMAIN\Username | Where-Object{$_。EventID -eq 1074}
WEVTUtil query-events System /count:1 /rd:true /format:text /q: " Event[System[(EventID=1074)]]] "
嗨Prajwal,
我非常感谢你的努力。但我还有一些疑问。应用程序服务是否可能在高CPU/内存消耗时重新启动/关闭服务器?如果可能,在应用程序日志和系统日志中将触发什么类型的事件?
我也想知道我们的朋友萨勃拉曼尼亚先生提出的问题的答案。
请尽快回复,这些对我们有很大帮助。
在我的组织中,许多人都在Windows server 2012R2中进行配置更改和重新启动应用程序服务。但是当我在事件查看器中检查时,它只是显示“服务进入停止状态”或“服务进入运行状态”,我无法找到谁重新启动了服务。你能告诉我怎样才能找到/配置审计策略来跟踪在windows server 2012 R2上停止/启动服务的用户吗?
信息清晰、准确、直截了当。谢谢你,般若瓦尔!
使用上述方法,我们将能够找到谁重新启动了5天前的服务器。??或者如果日志被覆盖了,我们怎么找到它
如果你有可用的事件,是的,你可以找到谁重启了服务器。如果日志被覆盖,则无法找到。
好点!
谢谢Prajwhth华体会体育全站al Desai。
信息量很大,直截了当。
谢谢你!很高兴听你这么说。
非常感谢!
谢谢你,般若瓦尔。你能提供这么有价值的信息真是太好了。
好了!谢谢你!
嗨,我没有得到重启应用程序服务器的用户。出于验证目的,我尝试重新启动我的笔记本电脑,但用户显示为:SYSTEM,尽管它应该是重启服务器的实际用户名。是否需要进行任何配置来帮助重新启动应用程序服务器的实际用户。
事件ID 1074应该显示重启服务器的用户。
这篇文章今天帮助了我。谢谢你!. .来自一个相当新的Windows虚拟机/服务器系统管理员,但有20多年的IT经验,我以前从来没有需要过这个,我最初的搜索只给我显示服务器重启时的事件ID,而不是由谁重启。
对于核心服务器
优秀的文章。谢谢你,普拉杰瓦尔
嗨Prajwal,
在我的组织中,许多人都在Windows server 2012R2中进行配置更改和重新启动应用程序服务。但是当我在事件查看器中检查时,它只是显示“服务进入停止状态”或“服务进入运行状态”,我无法找到谁重新启动了服务。你能告诉我怎样才能找到/配置审计策略来跟踪在windows server 2012 R2上停止/启动服务的用户吗?