商务合作

win服务器如何看谁重启

worktile 其他 196

回复

共3条回复 我来回复
  • 不及物动词的头像
    不及物动词
    这个人很懒,什么都没有留下~
    评论

    要查看谁在 Windows 服务器上进行了重启操作,可以按照以下步骤执行:

    第一步:查看系统日志

    1. 打开"事件查看器"(Event Viewer)。可以使用以下两种方式打开:
      • 在开始菜单中搜索"事件查看器"并打开。
      • 快捷键"Win + X",然后选择"事件查看器"。
    2. 在事件查看器窗口的左侧导航栏中,展开"Windows 日志"并选择"系统"。
    3. 在右侧窗口中,可以看到各种系统事件的列表,包括重启事件。可以通过"Source"列中的"EventLog"筛选出与重启相关的事件。

    第二步:筛选重启事件

    1. 在事件查看器右侧窗口的顶部,点击"Filter Current Log…"。
    2. 在弹出的对话框中,选择"Event sources"并在下拉菜单中选择"EventLog"。
    3. 在"Event sources"下方的文本框中输入"6006"(表示正常关机事件)或"6008"(表示非正常关机或电源中断事件)。
    4. 点击"OK"按钮应用筛选器。

    第三步:查看重启事件详细信息

    1. 在事件查看器右侧窗口,找到列出的重启事件。
    2. 点击某个重启事件,即可在下方看到该事件的详细信息,包括事件ID、日期、时间、来源等。

    通过以上步骤,您可以查看谁在 Windows 服务器上进行了重启操作以及相关的事件详细信息。请注意,只有具有管理员权限的用户才能查看系统日志。

    1年前 0条评论
  • fiy的头像
    fiy
    Worktile&PingCode市场小伙伴
    评论

    在Windows服务器上,可以通过以下几种方法来查看谁重启了服务器:

    1. 事件查看器:使用事件查看器可以查看系统事件日志,其中包含了关于服务器重启的信息。步骤如下:

      • 打开事件查看器:可以通过在“开始”菜单中搜索“事件查看器”来打开。
      • 在事件查看器中,选择“Windows日志”>“系统”。
      • 在右侧窗格中,找到事件列表,然后查找事件源为“Kernel-General”和事件ID为“12”的事件,这是服务器启动的事件记录。
      • 单击事件记录,查看“General”选项卡中的“用户信息”字段,可以看到谁启动了服务器。

    2. PowerShell命令:使用PowerShell命令来查看服务器的启动历史记录。步骤如下:

      • 打开PowerShell命令提示符:可以通过在“开始”菜单中搜索“PowerShell”来打开。
      • 在PowerShell提示符下,输入以下命令:Get-WinEvent -ProviderName Microsoft-Windows-Kernel-General | Where-Object {$_.ID -eq 12} | Select-Object -Property TimeCreated, Message
      • 运行命令后,将显示服务器启动的时间和消息,其中包含有关重启操作的详细信息。

    3. 安全审计日志:安全审计日志记录了系统上进行的所有安全相关的事件,包括服务器的重启。步骤如下:

      • 打开事件查看器:可以通过在“开始”菜单中搜索“事件查看器”来打开。
      • 在事件查看器中,选择“Windows日志”>“安全”。
      • 在右侧窗格中,找到事件列表,然后查找事件ID为“109”的事件,这是服务器启动的事件记录。
      • 单击事件记录,查看“通用”选项卡中的“主题”字段,可以看到谁启动了服务器。

    4. 第三方工具:还可以使用一些第三方的系统监控工具来监视服务器的启动和重启情况。这些工具可以提供更详细的服务器启动历史记录和报告。一些常见的系统监控工具包括SolarWinds、PRTG、Zabbix等。

    5. 服务器日志:服务器本身可能会将重启日志记录在系统日志文件中。可以通过查看这些日志文件来获取重启的信息。具体的位置和格式取决于服务器操作系统和配置。在Windows服务器上,一般位于C:/Windows/Logs目录下,并且以“EventLog”或“Event Viewer”开头命名的文件中。

    无论使用哪种方法,都需要具有管理员权限才能查看系统的事件日志和安全审计日志。此外,一些日志可能会自动轮转和清除,因此及时查看日志也很重要。如果需要长期保存日志信息,还可以将日志导出到其他存储设备或日志管理工具中。

    1年前 0条评论
  • worktile的头像
    worktile
    Worktile官方账号
    评论

    要查看谁重启了Windows服务器,可以使用以下方法进行跟踪和记录:

    1. 使用事件查看器:

      • 打开事件查看器,可以通过在搜索栏中输入“eventvwr”来打开。
      • 在事件查看器窗口左侧的“Windows 日志”下,找到“系统”。
      • 在“系统”日志中,可以找到重启的事件。事件 ID 为6005表示系统已启动,事件 ID 为6006表示系统已关机。
      • 选择事件,并在详细信息中查找事件的源,这将显示触发重启事件的用户或服务。

    2. 使用命令行工具:

      • 打开命令提示符,可以通过在搜索栏中输入“cmd”来打开。
      • 输入以下命令:wevtutil qe System /c:1 /f:text /rd:true /q:"*[System [(EventID=6005)]] or *[System [(EventID=6006)]]" | find "EventID"
      • 这将列出最近的重启事件,并显示事件的日期、时间和事件 ID。根据事件 ID 可以判断是启动还是关机事件。
      • 如果想查看更多详细信息,可以将/f:text改为/f:xml。这将输出包含XML格式的事件信息。

    3. 使用第三方工具:

      • 有一些第三方软件可以跟踪和记录服务器重启事件,例如“SolarWinds Event Log Forwarder for Windows Server”、“ManageEngine EventLog Analyzer”等。这些工具可以提供更高级的日志分析和报告功能。

    注意:

    • 以上方法需要管理员权限才能执行。
    • 请记住,事件日志可能会被清除或定期归档,因此及时跟踪是很重要的。建议将这些操作记录到服务器日志或其他安全审计解决方案中。

    总结:
    通过事件查看器或命令行工具,可以跟踪和记录Windows服务器的重启事件,并找到触发事件的用户或服务。另外,使用第三方工具可以提供更高级的日志分析和报告功能。

    1年前 0条评论
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部
                                                                                                                           PingCode智能化研发管理工具,25人以下免费使用。