mupan7
Goto Top

Info: Wer hat Server neu gestartet?

Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.

Content-ID: 253642

Url: https://administrator.de/forum/info-wer-hat-server-neu-gestartet-253642.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

AnkhMorpork
AnkhMorpork 03.11.2014 um 10:33:09 Uhr
Goto Top
Nix in "Windows-Protokolle / Sicherheit" zu finden?
colinardo
Lösung colinardo 03.11.2014 aktualisiert um 20:41:37 Uhr
Goto Top
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund
 Begründungscode: 0x500ff
 Herunterfahrtyp: Neustart
 Kommentar: 
Grüße Uwe
AnkhMorpork
AnkhMorpork 03.11.2014 um 12:20:54 Uhr
Goto Top
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
emeriks
emeriks 03.11.2014 um 13:16:42 Uhr
Goto Top
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.
AnkhMorpork
AnkhMorpork 03.11.2014 aktualisiert um 14:28:50 Uhr
Goto Top
Zitat von @emeriks:

Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.

Nach meinem Verständnis das hier:

Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
mupan7
mupan7 03.11.2014 aktualisiert um 20:45:15 Uhr
Goto Top
Zitat von @colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.


Also hatte ich Tomaten auf den Augen face-wink
mupan7
mupan7 03.11.2014 aktualisiert um 20:44:22 Uhr
Goto Top
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:


...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...




Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht face-wink
mupan7
mupan7 03.11.2014 um 22:05:26 Uhr
Goto Top
Zitat von @colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Hallo Uwe,

falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:


$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object  {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

Danke nochmal.

Viele Grüße

mupan
colinardo
colinardo 03.11.2014, aktualisiert am 04.11.2014 um 09:36:57 Uhr
Goto Top
Zitat von @mupan7:

> Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

da hätt's du mich auch gleich nach fragen können face-smile, danke trotzdem für die Ergänzung
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1  
:
Grüße Uwe
mupan7
mupan7 04.11.2014 um 12:25:22 Uhr
Goto Top
Zitat von @colinardo:
da hätt's du mich auch gleich nach fragen können face-smile, danke trotzdem für die Ergänzung

Beim Selbermachen ist der Lerneffekt viel größer.


Zitat von @colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:

Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen face-wink
colinardo
colinardo 04.11.2014 aktualisiert um 12:36:53 Uhr
Goto Top
Zitat von @mupan7:
Beim Selbermachen ist der Lerneffekt viel größer.
Da stimme ich dir absolut zu !
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen face-wink
Gerne face-smile
Hilft ungemein wenn man vor der Aufgabe steht Event-Logs wesentlich detaillierter eingrenzen zu müssen,da man auf jede Eigenschaft filtern kann.

Grüße Uwe
mupan7
mupan7 04.11.2014 um 12:45:42 Uhr
Goto Top

OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.