Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Info: Wer hat Server neu gestartet?

Frage Microsoft Windows Server

Mitglied: mupan7

mupan7 (Level 1) - Jetzt verbinden

03.11.2014, aktualisiert 20:41 Uhr, 3956 Aufrufe, 12 Kommentare

Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
Mitglied: AnkhMorpork
03.11.2014 um 10:33 Uhr
Nix in "Windows-Protokolle / Sicherheit" zu finden?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 03.11.2014, aktualisiert um 20:41 Uhr
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund 
 Begründungscode: 0x500ff 
 Herunterfahrtyp: Neustart 
 Kommentar: 
Grüße Uwe
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014 um 12:20 Uhr
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
Bitte warten ..
Mitglied: emeriks
03.11.2014 um 13:16 Uhr
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.
Bitte warten ..
Mitglied: AnkhMorpork
03.11.2014, aktualisiert um 14:28 Uhr
Zitat von emeriks:

Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.

Nach meinem Verständnis das hier:

Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:45 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.


Also hatte ich Tomaten auf den Augen
Bitte warten ..
Mitglied: mupan7
03.11.2014, aktualisiert um 20:44 Uhr
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:


...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".


...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...




Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht
Bitte warten ..
Mitglied: mupan7
03.11.2014 um 22:05 Uhr
Zitat von colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Hallo Uwe,

falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:


01.
$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object  {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)
Danke nochmal.

Viele Grüße

mupan
Bitte warten ..
Mitglied: colinardo
03.11.2014, aktualisiert 04.11.2014
Zitat von mupan7:

> Zitat von colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
01.
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1
:
Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:25 Uhr
Zitat von colinardo:
da hätt's du mich auch gleich nach fragen können , danke trotzdem für die Ergänzung

Beim Selbermachen ist der Lerneffekt viel größer.


Zitat von colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:

Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Bitte warten ..
Mitglied: colinardo
04.11.2014, aktualisiert um 12:36 Uhr
Zitat von mupan7:
Beim Selbermachen ist der Lerneffekt viel größer.
Da stimme ich dir absolut zu !
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen
Gerne
Hilft ungemein wenn man vor der Aufgabe steht Event-Logs wesentlich detaillierter eingrenzen zu müssen,da man auf jede Eigenschaft filtern kann.

Grüße Uwe
Bitte warten ..
Mitglied: mupan7
04.11.2014 um 12:45 Uhr

OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...