Info: Wer hat Server neu gestartet?
Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253642
Url: https://administrator.de/forum/info-wer-hat-server-neu-gestartet-253642.html
Ausgedruckt am: 22.05.2025 um 11:05 Uhr
12 Kommentare
Neuester Kommentar
Nix in "Windows-Protokolle / Sicherheit" zu finden?
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
Beispiel:
Grüße Uwe
Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund
Begründungscode: 0x500ff
Herunterfahrtyp: Neustart
Kommentar:
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
http://www.ldapexplorer.com/de/lumax.htm
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?
E.
E.
Nach meinem Verständnis das hier:
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:
...
Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".
...
Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Also hatte ich Tomaten auf den Augen
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:
...
Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".
...
Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:
...
Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".
...
Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht
Hallo Uwe,
falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)Danke nochmal.
Viele Grüße
mupan
Zitat von @mupan7:
> Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
da hätt's du mich auch gleich nach fragen können > Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
, danke trotzdem für die ErgänzungWer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1 Grüße Uwe
Zitat von @colinardo:
da hätt's du mich auch gleich nach fragen können, danke trotzdem für die Ergänzung
da hätt's du mich auch gleich nach fragen können
, danke trotzdem für die ErgänzungBeim Selbermachen ist der Lerneffekt viel größer.
Zitat von @colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Da stimme ich dir absolut zu !
Grüße Uwe
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Gerne - http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...
- Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
- Protokollierung gelöschter Dateien auf einem Fileserver
- Automatische Eventlogauswertung mit Filterung
Grüße Uwe
OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.
