我希望有人能帮我。我的服务器已经关闭了 3 次,但我无法确定是谁关闭的。我希望有人能帮我找出 Windows 事件日志的秘密。
这是一台未开启关机跟踪器的 Windows Server 2003 64 位服务器。
我有以下活动:
第 1 天。
17:34:23 - ID 523, 576, 538 - User1 解锁工作站(登录类型 7 - 通过 RDP 会话开启)
17:34:44 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....
17:34:46 - ID 551 - 用户 1 启动注销
17:34:49 - ID 551 - 用户 2 启动注销
17:34:53 - ID 538 - 用户 1 已注销
17:34:53 - ID 1517 - 无法卸载 User2 个人资料
17:34:53 - ID 1516 - User2 的个人资料已卸载
17:35:10 — ID 513 — 关闭
第二天。
16:25:32 - ID 523、576、538 - User1 解锁工作站(登录类型 7 - 通过 RDP 会话开启)
16:25:54 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....
16:25:56 - ID 551 - User1 启动注销
16:25:58 - ID 551 - 用户 2 启动注销
第 3 天。
10:45:29 — ID — User1 通过 RDP 登录(登录类型 10)
11:09:47 - ID 523、576、538 - User1 解锁工作站(登录类型 7)
11:38:11 - ID 26 - 应用程序弹出 - 其他人已登录此系统。正在关闭此计算机.....
11:38:17 - ID 551 - User1 启动注销
11:38:17 - ID 538 - 用户 1 注销
11:38:32 — ID 513 — 关闭
对我来说,这通常看起来像是用户解锁他们的工作站,关闭,对 piopup 说“是”,然后注销他并关闭服务器。
我知道这没什么可说的,但这是我所拥有的一切。
所以我问的是,这看起来像是我所想的那样,我是否需要更多信息,或者这可能是什么,我肯定需要更多信息。
答案1
当 Windows 关闭时,你应该有一个事件 ID 1074,来源为“User32”列出哪个进程和用户启动了关机,以及涉及哪种关机类型(关机、重启、休眠等)。