我希望有人能在這裡幫助我。我的伺服器已在 3 次不同的情況下關閉,但我無法明確確定是誰關閉的。我希望有人能幫我解開 Windows 事件日誌的奧秘。
這是一台未開啟關閉追蹤程式的 Windows Server 2003 64 位元伺服器。
我有以下事件:
第一天。
17:34:23 - ID 523、576、538 - User1 解鎖工作站(登入類型 7 - 它們透過 RDP 會話開啟)
17:34:44 - ID 26 - 應用程式彈出視窗 - 其他人登入該系統。關掉這台計算機......
17:34:46 - ID 551 - User1 發起註銷
17:34:49 - ID 551 - 用戶2 發起註銷
17:34:53 - ID 538 - 用戶1 已登出
17:34:53 - ID 1517 - 無法卸載 User2 設定文件
17:34:53 - ID 1516 - 已卸載 User2 的設定文件
17:35:10 - ID 513 - 關閉
第 2 天。
16:25:32 - ID 523、576、538 - User1 解鎖工作站(登入類型 7 - 它們透過 RDP 會話開啟)
16:25:54 - ID 26 - 應用程式彈出視窗 - 其他人登入該系統。關掉這台計算機......
16:25:56 - ID 551 - User1 發起註銷
16:25:58 - ID 551 - 用戶2 發起註銷
第三天。
10:45:29 - ID - User1 透過 RDP 登入(登入類型 10)
11:09:47 - ID 523、576、538 - 使用者 1 解鎖工作站(登入類型 7)
11:38:11 - ID 26 - 應用程式彈出視窗 - 其他人登入該系統。關掉這台計算機......
11:38:17 - ID 551 - 用戶 1 發起註銷
11:38:17 - ID 538 - 用戶1 登出
11:38:32 - ID 513 - 關閉
對我來說,這看起來通常是用戶解鎖他們的工作站,關閉,對 piopup 說“是”,然後註銷他並關閉伺服器。
我知道這並不多,但這就是我所擁有的一切。
所以我要問的是,這看起來像我想像的那樣,我是否需要更多信息,或者這可能是任何東西,我肯定需要更多信息。
答案1
當 Windows 關閉時,您應該有一個來自來源「User32」的事件 ID 1074列出哪些進程和使用者啟動了關閉,涉及什麼類型的關閉(關閉、重新啟動、休眠等)。