Я надеюсь, что кто-то сможет мне помочь. У меня есть сервер, который был выключен в 3 отдельных случаях, но я не могу точно определить, кто именно. Я надеюсь, что кто-то сможет мне помочь разобраться в тайнах журналов событий Windows.
Это сервер на базе Windows Server 2003 64 без включенного Shutdown Tracker.
У меня следующие события:
1 день.
17:34:23 - ID 523, 576, 538 - Пользователь 1 разблокирует рабочую станцию (тип входа 7 - они включены через сеанс RDP)
17:34:44 - ID 26 - Всплывающее окно приложения - В этой системе зарегистрированы другие пользователи. Выключение этого компьютера .....
17:34:46 - ID 551 - Пользователь 1 инициирует выход из системы
17:34:49 - ID 551 - Пользователь 2 инициирует выход из системы
17:34:53 - ID 538 - Пользователь 1 вышел из системы
17:34:53 - ID 1517 - Невозможно выгрузить профиль User2
17:34:53 - ID 1516 - Профиль для User2 выгружен
17:35:10 - ID 513 - Выключение
День 2.
16:25:32 - ID 523, 576, 538 - Пользователь 1 разблокирует рабочую станцию (тип входа 7 - они включены через сеанс RDP)
16:25:54 - ID 26 - Всплывающее окно приложения - В этой системе зарегистрированы другие пользователи. Выключение этого компьютера .....
16:25:56 - ID 551 - Пользователь 1 инициирует выход из системы
16:25:58 - ID 551 - Пользователь 2 инициирует выход из системы
День 3.
10:45:29 - ID - Пользователь 1, вход через RDP (тип входа 10)
11:09:47 - ID 523, 576, 538 - Пользователь 1 разблокирует рабочую станцию (тип входа 7)
11:38:11 - ID 26 - Всплывающее окно приложения - В этой системе зарегистрированы другие пользователи. Выключение этого компьютера .....
11:38:17 - ID 551 - Пользователь 1 инициирует выход из системы
11:38:17 - ID 538 - Пользователь 1 вышел из системы
11:38:32 - ID 513 - Выключение
Для меня это выглядит так, как будто пользователь разблокирует свою рабочую станцию, выключает ее, говорит «да» piopup, а затем он выходит из системы и выключает сервер.
Я знаю, что это не так уж много, но это все, что у меня есть.
Итак, я спрашиваю, похоже ли это на то, что я думаю, и нужна ли мне дополнительная информация или это может быть что угодно, и мне определенно нужна дополнительная информация.
решение1
Когда окна закрываются, у вас должно бытьидентификатор события 1074 из источника "User32"перечисление того, какой процесс и пользователь инициировали завершение работы, какой тип завершения работы имеет место (завершение работы, перезапуск, спящий режим и т. д.).