예기치 않게 종료되는 Windows 10 데스크톱이 있습니다. 나는 그런 일이 일어나는 것을 보지 못했지만 무작위로 오프라인 상태가 되었습니다. 백업을 부팅했을 때 이벤트 로그에 따른 첫 번째 이벤트는 "로그 지우기"였습니다. 이벤트 세부 내용은 아래와 같습니다. 이 작업은 사용자 S-1-5-18에 의해 수행되었습니다. 이 사용자가 시스템 사용자라고 생각됩니까? 다른 곳에는 나열되어 있지 않지만 그룹 정책 편집기에는 유사한 사용자를 참조하는 일부 레코드(S-1-5-83 및 S-1-5-21)가 있습니다.
시스템 로그를 지운 후 6개의 로그 지우기 이벤트가 더 발생했습니다. 5개는 VisualSVN 서버와 관련되고 1개는 RemoteDesktopSessionManager/Admin 로그 파일용입니다.
최근에 이 데스크탑에서 시스템 복구 작업을 수행하여 OS를 새 하드 드라이브에 복제했는데 해당 사용자가 그와 관련이 있는지 확실하지 않습니까? 어느 쪽이든 시스템 로그를 지우는 것은 의심스러워 보이며 컴퓨터가 무작위로 종료되는 이유를 알아낼 수 없습니다. Windows 업데이트 기록을 확인한 결과 다시 시작이 업데이트 작업과 관련이 없습니다.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
<EventID>104</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>104</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2022-02-22T02:46:19.2450542Z" />
<EventRecordID>123051</EventRecordID>
<Correlation />
<Execution ProcessID="1456" ThreadID="11800" />
<Channel>System</Channel>
<Computer>**********</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
<SubjectUserName>SYSTEM</SubjectUserName>
<SubjectDomainName>NT AUTHORITY</SubjectDomainName>
<Channel>System</Channel>
<BackupPath />
</LogFileCleared>
</UserData>
</Event>
해당 사용자 계정 및/또는 로그 항목이 의심스럽습니까?