Espero que alguien pueda ayudarme aquí. Tengo un servidor que se ha cerrado en 3 ocasiones distintas, pero no puedo determinar definitivamente quién. Espero que alguien pueda ayudarme a descubrir los misterios de los registros de eventos de Windows.
Este es un servidor construido con Windows Server 2003 64 sin Shutdown Tracker activado.
Tengo los siguientes eventos:
Día 1.
17:34:23 - ID 523, 576, 538 - El usuario 1 desbloquea la estación de trabajo (tipo de inicio de sesión 7; están conectados a través de una sesión RDP)
17:34:44 - ID 26 - Ventana emergente de aplicación - Otras personas han iniciado sesión en este sistema. Apagando esta computadora.....
17:34:46 - ID 551 - El usuario1 inicia el cierre de sesión
17:34:49 - ID 551 - El usuario2 inicia el cierre de sesión
17:34:53 - ID 538 - Usuario1 cerrado sesión
17:34:53 - ID 1517 - No se puede descargar el perfil de Usuario2
17:34:53 - ID 1516 - Perfil para Usuario2 descargado
17:35:10 - ID 513 - Apagar
Dia 2.
16:25:32 - ID 523, 576, 538 - El usuario 1 desbloquea la estación de trabajo (tipo de inicio de sesión 7; están conectados a través de una sesión RDP)
16:25:54 - ID 26 - Ventana emergente de aplicación - Otras personas han iniciado sesión en este sistema. Apagando esta computadora.....
16:25:56 - ID 551 - El usuario1 inicia el cierre de sesión
16:25:58 - ID 551 - El usuario2 inicia el cierre de sesión
Día 3.
10:45:29 - ID - Inicio de sesión del Usuario1 a través de RDP (tipo de inicio de sesión 10)
11:09:47 - ID 523, 576, 538 - El usuario 1 desbloquea la estación de trabajo (tipo de inicio de sesión 7)
11:38:11 - ID 26 - Ventana emergente de aplicación - Otras personas han iniciado sesión en este sistema. Apagando esta computadora.....
11:38:17 - ID 551 - El usuario1 inicia el cierre de sesión
11:38:17 - ID 538 - Cierre de sesión del usuario1
11:38:32 - ID 513 - Apagando
Para mí, esto parece, en general, que el usuario desbloquea su estación de trabajo, la apaga, dice sí al piopup y luego cierra la sesión y apaga el servidor.
Sé que esto no es mucho para continuar, pero es todo lo que tengo.
Entonces, lo que pregunto es que esto se parece a lo que creo que es y si necesito más información o podría ser cualquier cosa y definitivamente necesito más información.
Respuesta1
Cuando Windows se cierra, deberías tener unID de evento 1074 de la fuente "Usuario32"enumerando qué proceso y usuario iniciaron el apagado, qué tipo de apagado se trata (apagado, reinicio, hibernación, etc.).