[研究] 如何用事件檢視器件查開機、關機、重新啟動
2022-06-22
事件檢視器 Enent Viewer
畫面 Windows Server 2019
********************************************************************************
事件 ID 6005:“事件日誌服務已啟動。” 這是系統啟動的同義詞。
事件 ID 6006:“事件日誌服務已停止。” 這是系統關閉的同義詞。
事件 ID 6008:“上一次系統關閉意外。” 系統未正常關閉後啟動的記錄。
事件 ID 6009:指示在啟動時檢測到的 Windows 產品名稱、版本、內部版本號、服務包號和操作系統類型。
事件 ID 6013:顯示計算機的正常運行時間。
事件 ID 1074:“進程 X 已代表用戶 Y 啟動重新啟動/關閉計算機,原因如下:Z。” 表示應用程序或用戶啟動了重新啟動或關閉。
事件 ID 1076:“用戶 X 提供的上次意外關閉此計算機的原因是:Y。” 記錄第一個具有關機權限的用戶在意外重新啟動或關機後登錄計算機的時間,並提供發生的原因。
********************************************************************************
https://docs.microsoft.com/en-us/answers/questions/235563/server-issue-1.html
Event ID 6005 (alternate): “The event log service was started.” This is synonymous to system startup.
Event ID 6006 (alternate): “The event log service was stopped.” This is synonymous to system shutdown.
Event ID 6008 (alternate): "The previous system shutdown was unexpected." Records that the system started after it was not shut down properly.
Event ID 6009 (alternate): Indicates the Windows product name, version, build number, service pack number, and operating system type detected at boot time.
********************************************************************************
找不到完整 Event ID 列表,資料很分散。
(完)
相關
第六章 - 稽核與侵入偵測 | Microsoft Docs
https://docs.microsoft.com/zh-tw/security-updates/security/20214425
Event IDs | Microsoft Docs
https://docs.microsoft.com/en-us/previous-versions/tn-archive/bb643195(v=technet.10)?redirectedfrom=MSDN
沒有留言:
張貼留言