Theo dõi người dùng tắt máy với nhật ký hệ thống của Windows

Tôi sẽ chứng minh làm thế nào để xem ngày, thời gian, và chi tiết tất cả các sự kiện tắt máy/khởi động lại người dùng của trong Event Viewer trong Windows 7, Windows 8 và Windows Server 2008, 2012

Dưới đây là vài ID sự kiện để theo dõi tình trạng tắt máy / khởi động lại:

6005: Windows start-up
6006: Windows shutdown (đúng)
6008: Windows shutdown (bất ngờ)
1074: Loại tắt máy.

Dưới đây là mô tả cho chung:

ID sự kiện 6005 ghi lại vào lúc khởi động máy. Nó ghi với nội dung “The Event log service was started”
ID sự kiện 6006 được ghi lúc shutdown đúng cách. Nó đưa ra thông điệp “The Event log service was stopped”.
ID sự kiện 6008 được ghi lại khi shutdown tắt máy không đúng cach. Nó đưa ra thông điệp “The previous system shutdown at time on date was unexpected”.
ID sự kiện 1074 được tạo ra khi một ứng dụng làm cho hệ thống để khởi động lại, hoặc khi người dùng bắt đầu khởi động lại hoặc tắt máy

Các bước để theo dõi các sự kiện tắt máy:

Nhấn phím Cửa sổ + R, mở run và gõ eventvwr.msc.

2 Lọc các bản ghi sự kiện cho sự kiện 6005, 6006, 6008 như:

Sự kiện ID của 6005 và 6006 cho thấy một shutdown thích hợp và dịch vụ ghi với dòng:”The Event log service was started” . Và 6005 và 6008 cho thấy tắt máy bất ngờ và ghi với “The previous system shutdown at time on date was unexpected”.

3. Bây giờ lọc cho ID sự kiện ID 1074. Điều này sẽ cung cấp một thông tin chi tiết về người dùng, loại, thời gian người dùng tắt máy.

Thank for you!

Lượt xem (1201)

An Ninh Mạng an ninh mang, hoc an ninh mang, network security, quan tri mang, bao mat, thu thuat, mang may tinh, he dieu hanh, tin hoc van phong, kien thuc quan tri mang, mang lan, mang wan

Theo dõi người dùng tắt máy với nhật ký hệ thống của Windows