Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Info: Wer hat Server neu gestartet?

Mitglied: mupan7

mupan7 (Level 1) - Jetzt verbinden

03.11.2014, aktualisiert 20:41 Uhr, 5919 Aufrufe, 12 Kommentare

Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
Mitglied: AnkhMorpork
03.11.2014 um 10:33 Uhr
Nix in "Windows-Protokolle / Sicherheit" zu finden?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 03.11.2014, aktualisiert um 20:41 Uhr
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund 
 Begründungscode: 0x500ff 
 Herunterfahrtyp: Neustart 
 Kommentar: 
Grüße Uwe
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014 um 12:20 Uhr
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
Bitte warten ..
Mitglied: emeriks
03.11.2014 um 13:16 Uhr
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014, aktualisiert um 14:28 Uhr
Zitat von emeriks:

Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.

Nach meinem Verständnis das hier:

Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:45 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.


Also hatte ich Tomaten auf den Augen
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:44 Uhr
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:


...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...




Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht
Bitte warten ..
Mitglied: mupan7
03.11.2014 um 22:05 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Hallo Uwe,

falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:


01.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object  {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
Danke nochmal.

Viele Grüße

mupan
Bitte warten ..
Mitglied: colinardo
03.11.2014, aktualisiert 04.11.2014
Zitat von mupan7:

> Zitat von colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
01.
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1
:
Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:25 Uhr
Zitat von colinardo:
da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung

Beim Selbermachen ist der Lerneffekt viel größer.


Zitat von colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:

Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Bitte warten ..
Mitglied: colinardo
04.11.2014, aktualisiert um 12:36 Uhr
Zitat von mupan7:
Beim Selbermachen ist der Lerneffekt viel größer.
Da stimme ich dir absolut zu !
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Gerne
Hilft ungemein wenn man vor der Aufgabe steht Event-Logs wesentlich detaillierter eingrenzen zu müssen,da man auf jede Eigenschaft filtern kann.

Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:45 Uhr

OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10: "Wird neu gestartet"

gelöst Frage von FSX2010Windows 107 Kommentare

Hallo, die Mehrheit unser Windows 10 Pro Domänenrechner haben beim herunterfahren ein Problem: Im Abmeldebildschirm steht "Wird neu gestartet". ...

Batch & Shell

Prozess wird überwacht und neu gestartet - probleme

gelöst Frage von MarabuntaBatch & Shell2 Kommentare

Hallo, ein Prozess einer Software wird gestartet, falls er beendet wurde. Das Problem ist, dass er zwar funktioniert, aber ...

Drucker und Scanner

Netzwerkdrucker muss jeden Tag neu gestartet werden. (Druckt sonst nicht)

Frage von 116022Drucker und Scanner17 Kommentare

Hallo, seit ein paar Tagen habe ich das Problem, dass ein Netzwerkdrucker (nicht bei jedem Druckauftrag) neu gestartet werden ...

Windows Server

Nach Ordnerumleitung Client neu gestartet, dann waren sämtliche Dokumente weg

Frage von StephanSWindows Server3 Kommentare

Vorgeschichte: Migration eines ADC auf Basis von Server 2008 Standard 32 bit auf Server 2012r2 Standard. Alle Clients waren ...

Neue Wissensbeiträge
Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 StundeSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 7 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 17 StundenMicrosoft Office2 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von Henere vor 1 TagHumor (lol)5 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Heiß diskutierte Inhalte
Windows Netzwerk
LAN nur 10MB pro s trotz gb lan
Frage von tsunamiWindows Netzwerk21 Kommentare

Hallo zusammen, ich brauche mal wieder einen Anstoß in die richtige Richtung. Ich habe einen Windows 10 pc mit ...

Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

Netzwerke
Gateway in Switches, Druckern ect eintragen oder nicht
Frage von JodelknutNetzwerke12 Kommentare

Hi, bisher habe ich immer das Gateway überall wo es verlangt oder eintragbar war auch eingetragen. Mein neuer Kollege ...