Windows:如何检测计算机是否被远程关闭?

Windows:如何检测计算机是否被远程关闭?

域内一台计算机被人随意关闭(他被抓到过一次)!

他使用shutdown /s /f /t 0 /m \\computernameWindows 命令行来完成此操作。

事件发生后,一些计算机每周都会随机关机数次,但可能不是同一个人所为。

现在的问题是:是否可以检测/监控计算机是否被远程关闭,以及由谁关闭?(例如在事件查看器中)

答案1

尝试过滤系统记录User32事件源和1074事件 ID (查看更多)。

除非您已启用关机事件追踪器“其他(计划外)”原因是正常的。

相关内容