Windows Server 2003 R2 - 谁关闭了该服务器？

我希望有人能帮我。我的服务器已经关闭了 3 次，但我无法确定是谁关闭的。我希望有人能帮我找出 Windows 事件日志的秘密。

这是一台未开启关机跟踪器的 Windows Server 2003 64 位服务器。

我有以下活动：

第 1 天。

17:34:23 - ID 523, 576, 538 - User1 解锁工作站（登录类型 7 - 通过 RDP 会话开启）

17:34:44 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....

17:34:46 - ID 551 - 用户 1 启动注销

17:34:49 - ID 551 - 用户 2 启动注销

17:34:53 - ID 538 - 用户 1 已注销

17:34:53 - ID 1517 - 无法卸载 User2 个人资料

17:34:53 - ID 1516 - User2 的个人资料已卸载

17:35:10 — ID 513 — 关闭

第二天。

16:25:32 - ID 523、576、538 - User1 解锁工作站（登录类型 7 - 通过 RDP 会话开启）

16:25:54 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....

16:25:56 - ID 551 - User1 启动注销

16:25:58 - ID 551 - 用户 2 启动注销

第 3 天。

10:45:29 — ID — User1 通过 RDP 登录（登录类型 10）

11:09:47 - ID 523、576、538 - User1 解锁工作站（登录类型 7）

11:38:11 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....

11:38:17 - ID 551 - User1 启动注销

11:38:17 - ID 538 - 用户 1 注销

11:38:32 — ID 513 — 关闭

对我来说，这通常看起来像是用户解锁他们的工作站，关闭，对 piopup 说“是”，然后注销他并关闭服务器。

我知道这没什么可说的，但这是我所拥有的一切。

所以我问的是，这看起来像是我所想的那样，我是否需要更多信息，或者这可能是什么，我肯定需要更多信息。