¿Cómo verificar quién reinició (apagó) Windows Server?

Si su empresa tiene varios administradores de sistemas, a veces puede querer saber quién reinició el servidor. En este articulo. Le mostraré cómo identificar a un usuario que reinició o apagó una computadora/servidor que ejecuta Windows mediante los registros de eventos.

La información sobre la cuenta de usuario que envió el comando de reinicio se almacena en el registro de eventos de Windows.

1. Abra la consola del Visor de eventos (eventvwr.msc) y vaya a Registros de Windows -> Sistema;
2. Utilice el filtro Registro de eventos haciendo clic en Filtrar registro actual en el menú contextual;
3. En el cuadro de filtro, ingrese el EventID 1074 y haga clic en Aceptar;
4. Solo los eventos de apagado (reinicio) permanecerán en la lista de registros. Abra el último evento;
5. el evento con Usuario32 como fuente muestra a un usuario que inició un reinicio de Windows. En este ejemplo, es el usuario novak;

The process C:WindowsExplorer.EXE has initiated the restart of computer MUN-DC03 on behalf of user WOSHUBnovak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:

Veamos más ejemplos de eventos de reinicio/apagado de Windows. puedes ver AUTORIDADSISTEMA NT como un usuario que reinicia un sistema operativo.

Esto significa que el reinicio fue iniciado por un servicio o programa de Windows ejecutado como SISTEMA. Por ejemplo, puede ser un wuauserv proceso de servicio que completó la actualización de Windows y reinició una computadora de acuerdo con la configuración de GPO de Windows Update o usando una tarea del módulo PSWindowsUpdate.

The process C:WindowsuusAMD64MoUsoCoreWorker.exe has initiated the restart of computer MUN-DC03 on behalf of user NT AUTHORITYSYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:

Si su invitado de Windows se ejecuta en una máquina virtual de VMware y ejecuta Reiniciar invitado en la consola de administración de VMware, el evento de apagado tiene el siguiente aspecto:

The process C:Program FilesVMwareVMware Toolsvmtoolsd.exe has initiated the shutdown of computer MUN-DC03 on behalf of user NT AUTHORITYSYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown

En este caso, el apagado de Windows también lo inicia NT AUTHORITYSYSTEM, ya que los servicios de integración de VMware Tools se ejecutan en nombre del sistema.

Puede obtener información sobre los eventos de reinicio mediante PowerShell. El siguiente comando muestra todos los eventos con el EventID 1074:

Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message

El comando devolvió las descripciones de todos los eventos de reinicio y apagado de Windows.

Puede usar el siguiente script de PowerShell que devuelve una lista de los últimos diez eventos con los nombres de los usuarios o procesos iniciados reinicio/apagado del servidor.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Puede usar PowerShell para obtener el nombre del usuario que reinició una computadora remota. Puede acceder al registro de eventos en un host remoto usando Get-EventLog -ComputerName o conéctese a la computadora usando el cmdlet Invoke-Command y PSRemoting:

Invoke-Command -ComputerName mun-dc03 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}

Por el ID de evento 1074, puede encontrar solo los motivos de los reinicios correctos del servidor. Si Windows se reinició debido a una situación de emergencia (por ejemplo, si aparece un corte de energía o un BSOD), debe buscar un EventID 6008.

The previous system shutdown at 3:24:29 AM on ‎9/‎17/‎2022 was unexpected.

Por supuesto, no podrá averiguar quién reinició Windows si los registros de eventos se borraron o si los eventos más recientes se sobrescribieron con los anteriores (se recomienda aumentar el tamaño máximo de los registros de eventos usando GPO en el dominio ).