Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Info: Wer hat Server neu gestartet?

Frage Microsoft Windows Server

Mitglied: mupan7

mupan7 (Level 1) - Jetzt verbinden

03.11.2014, aktualisiert 20:41 Uhr, 4896 Aufrufe, 12 Kommentare

Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
Mitglied: AnkhMorpork
03.11.2014 um 10:33 Uhr
Nix in "Windows-Protokolle / Sicherheit" zu finden?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 03.11.2014, aktualisiert um 20:41 Uhr
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund 
 Begründungscode: 0x500ff 
 Herunterfahrtyp: Neustart 
 Kommentar: 
Grüße Uwe
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014 um 12:20 Uhr
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
Bitte warten ..
Mitglied: emeriks
03.11.2014 um 13:16 Uhr
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014, aktualisiert um 14:28 Uhr
Zitat von emeriks:

Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.

Nach meinem Verständnis das hier:

Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:45 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.


Also hatte ich Tomaten auf den Augen
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:44 Uhr
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:


...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...




Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht
Bitte warten ..
Mitglied: mupan7
03.11.2014 um 22:05 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Hallo Uwe,

falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:


01.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object  {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
Danke nochmal.

Viele Grüße

mupan
Bitte warten ..
Mitglied: colinardo
03.11.2014, aktualisiert 04.11.2014
Zitat von mupan7:

> Zitat von colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
01.
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1
:
Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:25 Uhr
Zitat von colinardo:
da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung

Beim Selbermachen ist der Lerneffekt viel größer.


Zitat von colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:

Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Bitte warten ..
Mitglied: colinardo
04.11.2014, aktualisiert um 12:36 Uhr
Zitat von mupan7:
Beim Selbermachen ist der Lerneffekt viel größer.
Da stimme ich dir absolut zu !
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Gerne
Hilft ungemein wenn man vor der Aufgabe steht Event-Logs wesentlich detaillierter eingrenzen zu müssen,da man auf jede Eigenschaft filtern kann.

Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:45 Uhr

OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Windows 10: "Wird neu gestartet" (7)

Frage von FSX2010 zum Thema Windows 10 ...

Server
gelöst Plesk kann nicht gestartet werden (5)

Frage von irxn84 zum Thema Server ...

Outlook & Mail
gelöst Outlook 2016 kann nicht gestartet werden.ich werde noch wahnsinnig (10)

Frage von sammy65 zum Thema Outlook & Mail ...

HTML
"Info-Screen" am Terminalserver? (9)

Frage von Schelinho zum Thema HTML ...

Neue Wissensbeiträge
Viren und Trojaner

FinFisher: Internetprovider schieben Spitzelopfern Malware unter

(1)

Information von kaiand1 zum Thema Viren und Trojaner ...

Humor (lol)

Wo ist der Fehler auf dem Bild?

(17)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Heiß diskutierte Inhalte
Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Humor (lol)
Wo ist der Fehler auf dem Bild? (17)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Userverwaltung
Ordner-Rechte für Dom.Admin einschränken? (13)

Frage von kilobyte zum Thema Windows Userverwaltung ...