1. Visualizzatore eventi:
- Apri il Visualizzatore eventi premendo il tasto Windows + R , digita "eventvwr.msc" e premi Invio .
- Espandi "Registri di Windows" nel riquadro di sinistra e seleziona "Sistema".
- Cerca eventi con ID evento 1074 per l'arresto del sistema e 1076 per il riavvio del sistema.
- Fare doppio clic sull'evento per visualizzare dettagli quali l'utente che ha avviato l'azione e l'ora in cui si è verificata.
2. Politica di controllo:
- Apri l'Editor criteri di gruppo locale premendo tasto Windows + R , digita "gpedit.msc" e premi Invio .
- Passa a Configurazione computer> Impostazioni di Windows> Impostazioni di sicurezza> Criteri locali> Criteri di controllo .
- Fare doppio clic su "Tracciamento del processo di controllo" e assicurarsi che sia impostato su "Riuscito".
- Dopo un riavvio o un arresto, torna a questa impostazione e controlla i registri eventi per gli ID evento 4634 (disconnessione avviata) e 4647 (arresto o riavvio riuscito).
3. Prompt dei comandi:
- Apri il prompt dei comandi come amministratore.
- Esegui il seguente comando:
```
conti netti
```
- Verrà visualizzato un elenco di account utente e verranno fornite informazioni sugli ultimi orari di accesso e disconnessione.
4. Registro di sicurezza:
- Apri Visualizzatore eventi (come menzionato nel metodo 1).
- Espandi "Registri di Windows" e seleziona "Sicurezza".
- Cercare eventi relativi agli accessi e alle disconnessioni degli utenti. ID evento 4624 , 4634 , 4647 e 4672 sono particolarmente rilevanti per tenere traccia dei riavvii e degli arresti del sistema.
Combinando questi metodi, puoi monitorare e identificare in modo efficace chi ha riavviato o spento il tuo server Windows, insieme all'ora e ai dettagli corrispondenti dell'azione.
sistemi © www.354353.com