- Remove From My Forums
Регистрация событий завершения работы
-
Вопрос
-
Добрый день. Как просмотреть регистрацию завершения работы сервера. В каком журнале? Куда это всё записывается?
Ответы
-
Как обычно,
если 2008 ой сервер Диспетчер сервера — диагностика — журналы windows- система
если 2003 ий Управление компьютером — просмотр событий — система
-
Предложено в качестве ответа
18 мая 2012 г. 10:27
-
Помечено в качестве ответа
Vinokurov Yuriy
21 мая 2012 г. 14:16
-
Предложено в качестве ответа
-
Попробуйте поискать в System Event Log уведомления от источника User32 с кодами событий 1074 и 1076.
-
Изменено
Evgenii Alekseev
20 мая 2012 г. 8:07 -
Помечено в качестве ответа
Vinokurov Yuriy
21 мая 2012 г. 14:16
-
Изменено
В последней части наше мини-серии статей, мы рассмотрим вопрос включения поиска и избавления от регистрации событий завершения работы (Shutdown Event Tracker). Многие программы полагаются на поиск, в том числе Microsoft Outlook, давайте взглянем на то, как мы можем включить его.
Включение Windows Search
Поиск это функция, которая многие из нас использует ежедневно. Тем не менее, по умолчанию в Server 2008 R2 функция поиска была отключена. Она может быть включена, для того, чтобы это сделать необходимо открыть диспетчер сервера и щелкнуть правой кнопкой мыши на Роли, выбрав Добавить роли из контекстного меню.
Выбираем роль файловых служб и нажимаем далее
Отмечаем службу поиска Windows, после чего появиться пункт Тома для индексации.
Выбираем нужный диск для индексации, в моем случае он один. Обратите внимание, что чем больше дисков вы отметите, тем больше времени будет происходить индексация, а если у Вас машине не из мощных, то это может существенно сказаться на производительности.
Подтверждаемым установку выбранных ролей.
Как только установка будет завершена, вы сможете начать поиск файлов.
Отключение регистрации событий завершения работы
Если мы работаем на сервер, то всегда хотим знать что с ним происходит (в данном случае мы говорим, о выключениях, перезагрузках и т.п.). Однако если мы работаем с Windows 2008 в качестве настольной ОС это может очень раздражать. К счастью Shutdown Event Tracker или Регистрация событий завершения работы можно очень легко отключить с помощью групповой политики. Чтобы открыть оснастку групповой политики, нажимаем Win + R и вводим gpedit.msc, затем нажмите клавишу ВВОД.
В оснастке локальной групповой политики опускаемся по следующему адресу:
Конфигурация компьютераАдминистративные шаблоныСистема
или если Вы работает с англоязычной версией —
Computer ConfigurationAdministrative TemplatesSystem
Затем на правой панели опускаемся вниз до параметра — Отображать диалог слежения за завершением работы (Display Shutdown Event Tracker). Щелкаем по нему два раза кнопкой мыши.
И переключаем свойства данного объекта на Отключен, после чего применяем.
Перезагрузите компьютер, чтобы параметры вступили в силу или вы также може выполнить команду gpupdate /force, которая применит политики без перезагрузки.
На этом мы заканчиваем нашу серию мини-статей, хотя сделать еще для облегчения работы в Server 2008 можно очень много, как пример настройки безопасности IE, для свободного интернет-серфинга, но это мы оставим на потом.
Windows Server
- 11.12.2014
- 21 439
- 1
- 25.04.2020
- 46
- 46
- 0
- Содержание статьи
- Описание и решение проблемы
- Комментарии к статье ( 1 шт )
- Добавить комментарий
Описание и решение проблемы
Каждый раз, когда кто-либо пытается завершить работу или перезагрузить компьютер под управлением Windows Server, в действие вступает регистратор событий завершения работы. Вся его суть заключается в следующем окне:
Для его отключения нужно проделать следующее:
Открываем Пуск — Выполнить (горячие клавиши — Win+R) и набираем там gpedit.msc. Жмем ОК.
В появившемся редакторе управления локальных политик выбираем в левой панели «Конфигурация компьютера — Административные шаблоны — Система». Среди множества настроек ищем «Отображать диалог слежения за завершением работы».
Открываем двойным щелчком и выбираем «Отключить».
Нажимаем ОК.
Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.
Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.
- Откройте консоль Event Viewer (
eventvwr.msc
) и перейдите в раздел Windows Logs -> System; - Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log;
- В поле фильтра укажите EventID 1074 и нажмите OK;
- В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;
- В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a.novak.
The process C:WindowsExplorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPROa.novak for the following reason: Other (Unplanned) Reason Code: 0x5000000 Shutdown Type: restart Comment:
Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITYSYSTEM.
Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы
wuauserv
, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.
The process C:WindowsuusAMD64MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITYSYSTEM for the following reason: Operating System: Service pack (Planned) Reason Code: 0x80020010 Shutdown Type: restart Comment:
Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:
The process C:Program FilesVMwareVMware Toolsvmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITYSYSTEM for the following reason: Legacy API shutdown Reason Code: 0x80070000 Shutdown Type: shutdown
В этом случае выключение Windows также инициировано NT AUTHORITYSYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.
Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:
Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message
Команда вернула описания всех событий перезагрузки и выключения Windows.
Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.
Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft
Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:
Invoke-Command -ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}
По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.
The previous system shutdown at 4:34:49 AM on 1/17/2022 was unexpected.
И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).
30 марта 2019
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
| Event ID | Описание |
|---|---|
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
| 6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
- Нажмите клавишу Win, наберите eventvwr и запустите Просмотр событий
- В панели слева разверните Журналы Windows и перейдите в Система
- Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала...
- Введите следующие коды в поле <Все коды событий> и нажмите OK:41,1074,1076,6005,6006,6008,6009,6013
Логи Выключений в PowerShell
Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды
Например, чтобы отфильтровать
|
Get-EventLog System -Newest 10000 | Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap |
Опубликовано 30.03.2019 от evgeniyalf в категории «Windows
НЕКЕШЕРОВАННЫЙ КОНТЕНТ
В последней части нашей мини-серии мы рассмотрим включение поиска и избавление от средства отслеживания событий выключения. Многие программы полагаются на поиск, включая Microsoft Outlook, давайте посмотрим, как мы можем его включить.
Включение поиска Windows
Поиск — это функция, которую многие из нас используют ежедневно. Однако по умолчанию в Server 2008 R2 поиск отключен. Тем не менее, его можно включить, для этого откройте диспетчер серверов, щелкните правой кнопкой мыши роли и выберите «Добавить роли» в контекстном меню.
Нажмите кнопку «Далее» на странице «Перед началом работы», чтобы открыть список доступных ролей, которые можно установить. Отметьте опцию File Services и нажмите Next, в разделе Introduction to File Services нажмите Next еще раз.
Теперь он попросит вас выбрать службы ролей, единственное, что вам нужно выбрать, — это служба поиска Windows.
При выборе дисков, которые Windows должна проиндексировать, вы должны принять во внимание, что чем больше дисков вы выберете, тем больше времени потребуется для создания индекса, который определяет, как долго будет обеспечиваться производительность. Поскольку у нас есть только один диск, мы выберем его и нажмем «Далее», а затем установим, чтобы завершить процесс.
Как только установка будет завершена, вы сможете начать поиск своих файлов.
Отключение средства отслеживания событий выключения
На сервере вам всегда нужно знать, почему сервер отключился. Однако, поскольку мы используем эту ОС как настольную, это может сильно раздражать. К счастью, средство отслеживания событий выключения можно очень легко отключить с помощью групповой политики, чтобы открыть консоль управления групповой политикой, нажмите комбинацию клавиш Win + R, чтобы открыть окно запуска, введите gpedit.msc и нажмите Enter.
Когда откроется консоль управления локальной групповой политикой, перейдите в следующее место:
Конфигурация компьютера Административные шаблоны Система
Затем прокрутите вниз с правой стороны, пока не найдете параметр под названием Display Shutdown Event Tracker.
Дважды щелкните по нему, чтобы открыть, измените настройку с Не настроено на Отключено.
Выключите компьютер, чтобы ваши настройки могли быть загружены, конечно, вы также можете ввести gpupdate / force в поле запуска, если вы хотите, чтобы ваши настройки вступили в силу без перезагрузки.
Это подводит нас к концу нашей мини-серии, есть много других настроек, которые вы, возможно, захотите сделать, например, настройка политики усиленной безопасности IE, чтобы вы могли просматривать веб-страницы, поэтому дайте нам знать, какие другие настройки и хаки, которые вы используете в комментариях.
Tutorial: How To Set Up Windows Server 2008 For Workstation Use (transform It Into Vista)
Schedule Automatic Shutdown In Windows Server 2008
Server2008R2 | Disable Display Shutdown Event Tracker
( Event Viewer ) Event ID 6008 — Operating System Shutdown Unexpected ( Or Restart Unexpected )
Troubleshoot Unexpected Shutdown On Windows 2012 R2 Server
Windows Server 2008: Audit Account Logon Events
Disable Or Prevent Shutdown Option In Windows 10 Via GPO Windows Server 2012 R2
Я пытаюсь просмотреть журналы отслеживания событий завершения работы в средстве просмотра событий Windows Server 2008 r8, но не могу найти сообщения, которые я предоставил при перезапуске сервера.
Где в окне просмотра событий я могу увидеть эти журналы?
Ответы:
Открыть просмотрщик событий. Раскройте журналы Windows. Нажмите «Система», затем найдите или отфильтруйте событие с идентификатором 1074. И вы увидите все свои журналы выключения.
Я знаю, что это очень старый вопрос. Но это может помочь кому-то, кто ищет такое же решение. вы можете использовать одну строку в powershell (которая будет доступна во всех ОС после win 2003), чтобы узнать историю перезагрузки. Просто откройте powershell.exe из командной строки и введите команду ниже.
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
Если вы или другие просто пытаетесь найти самое последнее время загрузки, я нашел самый простой способ — запустить это в cmd:
systeminfo | find "System Boot Time"
От powercram.com
Еще один полезный подход, который я нашел, поскольку мы часто отслеживаем сбои на наших серверах, размещенных у провайдера, заключается в создании настраиваемого представления событий следующим образом:
Откройте Event Viewer, затем
- Щелкните правой кнопкой мыши Custom Views
- Нажмите Создать пользовательский вид
- На вкладке Фильтр
- Хранить в журнале как в любое время
- Выберите все типы уровней событий (Критические, Предупреждение и т. Д.)
- Выбрать по источнику = Журналы Windows> Система
- Для идентификатора события в разделе «Включает / исключает идентификаторы событий» введите 1074 для идентификатора события.
- Нажмите Ok
- Введите имя, например, «Завершение работы», и любое описание.
- Нажмите Ok еще раз, чтобы завершить пользовательский журнал событий.
Ваш новый пользовательский вид должен появиться в списке пользовательских видов с правильным фильтром.
Немного более чистая однострочная оболочка Powershell, которую я использую для отфильтровывания связанных с выключением событий:
Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w
Чтобы ограничить это только наиболее полезными свойствами:
Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w
Кроме того, для поиска по тексту сообщения:
Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w
Разверните The Windows Logsв The Event Viewerприложении и выберите System. Затем The System Panel, обычно появляется посередине, сортируйте их по уровню или идентификатору.
Нажмите на каждую запись, чтобы увидеть описание в нижней панели
������ 2008 R2, ���������� ������, �������� �������������. �������� � 20-30% �������, ��� ����������� ������� �� RDP ����������� ������ «����������� ������� ���������� ������», �.�. �� ������, ��� ��� ����������� ���������. ��� ������ ����� ��� ������� �� ���������, � �� �������������, � ����� �� �� ������ ���. ������ ������ ��������, ������� ������� ����������� ����������/������������ ���, ���� 100%.
���� �� ��� ������� �������������, �� �� 100% ������� ���������� ������ «�����������».
� ���� ����� �����?
��� ��� ���� � ����� ��������?
���� ������� ������ ���� «������������ ���������� ������», �� ��� �� ������� ������������� �������� �������������. �� � ���� ��� ��������� ���� ���� ���������������� �������������� ���������� ������. ���� � ������ ������. ������� ��� ����, ��� �����, ��� ������ �������� ������ �����.
� ���� � ���� ������ ������, � �� ������ ���. ����� �� ���-�� ������������? ��� ������� — ������ �� ���������� ������ �������? ���� ��� ���������, �� ������ ��������� ����������?
P.S. ��������� �������� ���? support.microsoft.com/kb/326564
P.P.S ������ ��� ����?
������ �� ���������� �������, ��������� ��� �� �������, �������� ���, ��� ���� � ���������� �����. ���������, ������ �������������� ����������� ������� ������� ������������ ��� ��������� ��������.
��������� �������� ������ �������� �������� cdrom, ������� ��������, �.�. ������� ���. �� � ����� ������, ��� ������ �������� ��� ����� «��������������� ����������». ������ ������ ���.
��-���, ����� �������. ���������� ������� ���� ���� ���������������� �������������� ���������� ������ ������������� ����� ������� � �������������� ���������� ������. ������� �� ��� ���� ��������� � 20 ��� ����, ��� � ����� ��������.
������, ��������� ���� �������������� — �� ������ �������, ����� ������� ��������������� ��������������, ��������, ��� ��������� ���������� — ��� ������, ��� ������ ����������� �����������
�� ����� ���������� �� ������, �������, ������
��� ������� � ������.
� ����� ���� ���������� ����� ������� �� ��������� � �� ���������� ������ ���������� …. ���� � ������
��������� — �� ����������?
����� �� ���� �����(�)
��������� — �� ����������? …
�����, ���?
1. gpedit.msc — ������������ ���������� — ������c��������� ������� — �������: «���������� ������ �������� �� ����������� ������» — �����ޣ�
2. ������������.
��� gpupdate /force (����� �� ���������������).
����� �� ���� �����(�)
1. gpedit.msc — ������������ ���������� — ������c��������� ������� — �������: «���������� ������ �������� �� ����������� ������» — �����ޣ� <br> 2. ������������. <br> ��� gpupdate /force (����� �� ���������������). …
�����.
��� ������� �������� �� �������� ���������� ��������� �������� � ��������� �������. ��� ���� ������� ������� ������, ��� �������� ��������� … ���� ����������� ����������� �� ������.
����������� � 1-� ���������.
��� �� ����� ������� � ������� �����, �������� �������� � ����� ���� 1� -�������, ��� �� ����� ��� ���������� «�������� ����������»(� ���� ������� �� ���������� �������������). � ����� ������ «�������» ����� ����� ����� �������� �������� �����, ����� ������������ �������, �������� �� 5.1, ������� �� ���� � �������������� ������� �� �����.
�.�.: ��������� ����� �� ������ ������������ 1�-�� ��� ����� ����� ��������� ��� ����.
������ ������ 1� ������))) � ���� �������…
�� 1� ��� ������ ����������, � �������� �������� ��� kerio � teamwox, �� ������ ���������� ������
� �������� ��������-����� ����� ���������� ��� ������� � ������� ������ (��, �����������, ������ ������� ������������� � ����������� ���ȣ��� �� �����������)
����� ������, ���� ����� �������:
������ ����� � 20-00, ��������
��� ��� ������ � 21-00 � � 22-00 — �� ��������
������ �� ��� ����� �� ����������