Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. Zobrazovač udalostí:
- Otvorte Zobrazovač udalostí stlačením klávesu Windows + R , zadajte „eventvwr.msc“ a stlačte Enter .
- V ľavom paneli rozbaľte "Denníky systému Windows" a vyberte "Systém".
- Hľadajte udalosti s ID udalostí 1074 pre vypnutie systému a 1076 pre reštart systému.
- Dvakrát kliknite na udalosť, aby ste videli podrobnosti, ako napríklad používateľ, ktorý inicioval akciu, a čas, kedy k nej došlo.
2. Pravidlá auditu:
- Otvorte Editor miestnych zásad skupiny stlačením kláves Windows + R , zadajte „gpedit.msc“ a stlačte Enter .
– Prejdite na Konfigurácia počítača> Nastavenia systému Windows> Nastavenia zabezpečenia> Miestne zásady> Zásady auditu .
- Dvakrát kliknite na "Audit process tracking" a uistite sa, že je nastavená na "Success".
- Po reštarte alebo vypnutí sa vráťte k tomuto nastaveniu a skontrolujte denníky udalostí pre ID udalostí 4634 (spustené odhlásenie) a 4647 (úspešné vypnutie alebo reštart).
3. Príkazový riadok:
- Otvorte príkazový riadok ako správca.
- Spustite nasledujúci príkaz:
```
čisté účty
```
- Zobrazí sa zoznam používateľských účtov a poskytne informácie o časoch posledného prihlásenia a odhlásenia.
4. Denník zabezpečenia:
- Otvorte prehliadač udalostí (ako je uvedené v metóde 1).
- Rozbaľte "Denníky systému Windows" a vyberte "Zabezpečenie".
- Hľadajte udalosti súvisiace s prihlásením a odhlásením používateľov. ID udalostí 4624 , 4634 , 4647 a 4672 sú obzvlášť dôležité pre sledovanie reštartov a odstavení systému.
Kombináciou týchto metód môžete efektívne sledovať a identifikovať, kto reštartoval alebo vypol váš server Windows, spolu s príslušným časom a podrobnosťami o akcii.