Espero que alguém possa me ajudar aqui. Tenho um servidor que foi desligado em três ocasiões distintas, mas não consigo determinar definitivamente quem. Espero que alguém possa me ajudar a descobrir os mistérios dos logs de eventos do Windows.
Este é um servidor Windows Server 2003 64 construído sem o Shutdown Tracker ativado.
Eu tenho os seguintes eventos:
Dia 1.
17:34:23 - ID 523, 576, 538 - Usuário1 desbloqueia estação de trabalho (logon tipo 7 - eles estão ligados via sessão RDP)
17:34:44 – ID 26 – Popup do aplicativo – Outras pessoas estão logadas neste sistema. Desligando este computador.....
17:34:46 - ID 551 - Usuário1 inicia logoff
17:34:49 - ID 551 - Usuário2 inicia logoff
17:34:53 - ID 538 - Usuário1 desconectado
17:34:53 - ID 1517 - Não é possível descarregar o perfil User2
17:34:53 - ID 1516 - Perfil do Usuário2 descarregado
17:35:10 - ID 513 - Desligando
Dia 2.
16:25:32 - ID 523, 576, 538 - Usuário1 desbloqueia estação de trabalho (logon tipo 7 - eles estão ligados via sessão RDP)
16:25:54 – ID 26 – Popup do aplicativo – Outras pessoas estão logadas neste sistema. Desligando este computador.....
16:25:56 - ID 551 - Usuário1 inicia logoff
16:25:58 - ID 551 - Usuário2 inicia logoff
Dia 3.
10:45:29 - ID - Logon do usuário 1 via RDP (tipo de logon 10)
11:09:47 - ID 523, 576, 538 - Usuário1 desbloqueia estação de trabalho (logon tipo 7)
11:38:11 – ID 26 – Popup do aplicativo – Outras pessoas estão logadas neste sistema. Desligando este computador.....
11:38:17 - ID 551 - Usuário1 inicia logoff
11:38:17 - ID 538 - Logoff do usuário1
11:38:32 – ID 513 – Desligando
Para mim, isso geralmente parece que o usuário desbloqueia sua estação de trabalho, desliga, diz sim ao piopup e, em seguida, desconecta-o e desliga o servidor.
Eu sei que isso não é muito para continuar, mas é tudo que tenho.
Então, o que estou perguntando é que isso se parece com o que penso e se preciso de mais informações ou poderia ser qualquer coisa e definitivamente preciso de mais informações.
Responder1
Quando o Windows for desligado, você deverá ter umID do evento 1074 da origem "User32"listando qual processo e usuário iniciou o desligamento, que tipo de desligamento está em questão (desligamento, reinicialização, hibernação, etc.).