Info: Wer hat Server neu gestartet?
Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253642
Url: https://administrator.de/forum/info-wer-hat-server-neu-gestartet-253642.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
12 Kommentare
Neuester Kommentar
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
Beispiel:
Grüße Uwe
Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund
Begründungscode: 0x500ff
Herunterfahrtyp: Neustart
Kommentar:
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
http://www.ldapexplorer.com/de/lumax.htm
Nach meinem Verständnis das hier:
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:
...
Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".
...
Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Zitat von @mupan7:
> Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung> Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1
Grüße Uwe
Da stimme ich dir absolut zu !
Grüße Uwe
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Gerne - http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...
- Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
- Protokollierung gelöschter Dateien auf einem Fileserver
- Automatische Eventlogauswertung mit Filterung
Grüße Uwe