Ich hoffe, dass mir hier jemand weiterhelfen kann. Ich habe einen Server, der dreimal heruntergefahren wurde, aber ich kann nicht genau feststellen, wer das war. Ich hoffe, dass mir jemand helfen kann, die Geheimnisse der Windows-Ereignisprotokolle zu lüften.
Dies ist ein auf Windows Server 2003 64 basierender Server ohne aktivierten Shutdown Tracker.
Bei mir gibt es folgende Veranstaltungen:
Tag 1.
17:34:23 – ID 523, 576, 538 – Benutzer1 entsperrt Arbeitsstation (Anmeldetyp 7 – er ist über eine RDP-Sitzung eingeloggt)
17:34:44 – ID 26 – Anwendungs-Popup – Andere Personen sind an diesem System angemeldet. Dieser Computer wird heruntergefahren …
17:34:46 - ID 551 - Benutzer1 leitet die Abmeldung ein
17:34:49 - ID 551 - Benutzer2 leitet die Abmeldung ein
17:34:53 - ID 538 - Benutzer1 abgemeldet
17:34:53 - ID 1517 - Profil von User2 kann nicht entladen werden
17:34:53 - ID 1516 - Profil für Benutzer2 entladen
17:35:10 - ID 513 - Herunterfahren
Tag 2.
16:25:32 – ID 523, 576, 538 – Benutzer1 entsperrt Arbeitsstation (Anmeldetyp 7 – er ist über eine RDP-Sitzung eingeloggt)
16:25:54 – ID 26 – Anwendungs-Popup – Andere Personen sind an diesem System angemeldet. Dieser Computer wird heruntergefahren …
16:25:56 - ID 551 - Benutzer1 leitet die Abmeldung ein
16:25:58 - ID 551 - Benutzer2 leitet die Abmeldung ein
Tag 3.
10:45:29 - ID - Benutzer1-Anmeldung über RDP (Anmeldetyp 10)
11:09:47 - ID 523, 576, 538 - Benutzer1 entsperrt Arbeitsstation (Anmeldetyp 7)
11:38:11 – ID 26 – Anwendungs-Popup – Andere Personen sind an diesem System angemeldet. Dieser Computer wird heruntergefahren …
11:38:17 - ID 551 - Benutzer1 leitet die Abmeldung ein
11:38:17 - ID 538 - Benutzer1 abgemeldet
11:38:32 - ID 513 - Herunterfahren
Für mich sieht das so aus, als würde der Benutzer im Allgemeinen seine Arbeitsstation entsperren, herunterfahren, „Ja“ zum PiOpup sagen und sich dann abmelden und den Server herunterfahren.
Ich weiß, das ist nicht viel, aber es ist alles, was ich habe.
Ich frage also, ob es so aussieht, wie ich es mir vorstelle, und ob ich weitere Informationen brauche oder ob es irgendetwas anderes sein könnte. Ich brauche auf jeden Fall weitere Informationen.
Antwort1
Wenn Windows herunterfährt, sollten Sie eineEreignis-ID 1074 von der Quelle „User32“Auflistung, welcher Prozess und Benutzer das Herunterfahren initiiert hat und um welche Art des Herunterfahrens es sich handelt (Herunterfahren, Neustart, Ruhezustand usw.).