Ich habe einige E-Mail-Benachrichtigungen von Azure erhalten, die Folgendes enthalten:
Activity log alert Alert [Server Name] Health Status
Properties {
"title":"Reboot initiated from inside the machine",
"details":"A reboot was triggered from inside the virtual machine. This could be due to a virtual machine operating system failure or as requested by an authorized user or process. The virtual machine will be back online after the reboot completes.",
"currentHealthStatus":"Unavailable",
"previousHealthStatus":"Unavailable",
"type":"Downtime",
"cause":"UserInitiated" }
Dies war definitiv nicht „benutzerinitiiert“, sondern könnte durch Windows Update verursacht worden sein, da die Zeit innerhalb des definierten Zeitfensters „außerhalb der Geschäftszeiten“ liegt.
Gibt es jedoch eine Möglichkeit, in den Protokollen festzustellen, was den Neustart ausgelöst hat?
Antwort1
Schauen Sie sich „Ressourcenintegrität“ an, um zu sehen, ob es im Verlauf noch andere Ereignisse gibt. Sie haben Recht, wenn es in das Fenster „außerhalb der Geschäftszeiten“ fällt, war es wahrscheinlich Windows Update. In unserer Umgebung erhalten wir genau diese Benachrichtigungen, wenn Windows Update einen Neustart auslöst.
Wenn Sie 100 % sicher sein möchten, dass es sich um Windows-Updates handelte, filtern Sie das Systemereignisprotokoll nach den IDs 1074, 6006 und 6008. Suchen Sie nach einem Ereignis zum Zeitpunkt des Neustarts. Es sollte ungefähr so lauten:
The process C:\windows\system32\wbem\wmiprvse.exe (HOSTNAME) has initiated the restart of computer HOSTNAME on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x80070015
Shutdown Type: restart
Comment:
Microsoft hätte einen Grund hinzufügen können, damit es einfacher wäre, den Grund zu ermitteln …
Antwort2
Ihre einzige/beste Chance besteht darin, innerhalb der VM nachzuschauen, welche Protokollierung dort aktiv ist.
Azure teilt Ihnen – offensichtlich für jeden, der dies liest – mit, dass der Neustart INNERHALB der VM ausgelöst wurde. Damit endet das Plattformwissen, die VM fordert einen Neustart an.
Darin finden Sie MÖGLICHERWEISE weitere Informationen, aber vieles hängt wirklich vom Betriebssystem, der Konfiguration und – im schlimmsten Fall – sogar nicht einmal von den Anwendungen ab (also davon, ob sie dies überhaupt protokollieren).
Auf Azure werden Sie nichts finden, da von außen keine Kenntnis vorliegt.
Beachten Sie außerdem:
Dies war definitiv nicht „benutzerinitiiert“, sondern könnte durch Windows Update verursacht worden sein, da die Zeit innerhalb des definierten Zeitfensters „außerhalb der Geschäftszeiten“ liegt.
Per Definition wird aus Sicht der Azure-Umgebung das in der VM ausgeführte Windows Update vom Benutzer initiiert. Der Benutzer (also die VM) fordert einen Neustart an. Es ist also absolut vom Benutzer initiiert.