mupan7
Nov 03, 2014, updated at 19:41:37 (UTC)
view33527
view12
0
Goto Top

Info: Wer hat Server neu gestartet?

GermansolvedQuestionWindows ServerMicrosoft
Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / System account? Windows Events, WMI? Ich hab schon mal maschinengesucht, im Eventviewer geblättert und gefiltert, bis jetzt hab ich Tomaten auf den Augen oder es ist komplizierter.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 253642

Url: https://administrator.de/contentid/253642

Printed on: April 19, 2024 at 03:04 o'clock

12 Comments
Latest comment
Goto Top
Member: AnkhMorpork
AnkhMorpork Nov 03, 2014 at 09:33:09 (UTC)
Goto Top
Nix in "Windows-Protokolle / Sicherheit" zu finden?
Member: colinardo
Solution colinardo Nov 03, 2014 updated at 19:41:37 (UTC)
Goto Top
Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Beispiel:
Der Prozess C:\Windows\system32\winlogon.exe (SERVERXYZ) hat den/das Neustart von Computer SERVERXYZ für Benutzer Domain\AdminABC aus folgendem Grund initialisiert: Kein Titel für den Grund
 Begründungscode: 0x500ff
 Herunterfahrtyp: Neustart
 Kommentar:
Grüße Uwe
Member: AnkhMorpork
AnkhMorpork Nov 03, 2014 at 11:20:54 (UTC)
Goto Top
Vielleicht auch eine Sünde wert:
http://www.ldapexplorer.com/de/lumax.htm
Member: emeriks
emeriks Nov 03, 2014 at 12:16:42 (UTC)
Goto Top
Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.
Member: AnkhMorpork
AnkhMorpork Nov 03, 2014 updated at 13:28:50 (UTC)
Goto Top
Zitat von @emeriks:

Schönes Tool, aber was hat das mit der gestellten Frage zu tun?

E.

Nach meinem Verständnis das hier:

Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".

...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...
Member: mupan7
mupan7 Nov 03, 2014 updated at 19:45:15 (UTC)
Goto Top
Zitat von @colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.


Also hatte ich Tomaten auf den Augen face-wink
Member: mupan7
mupan7 Nov 03, 2014 updated at 19:44:22 (UTC)
Goto Top
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD
Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:

...

Login Name
Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von
"Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName".

...

Kann natürlich sein, dass ich nur Bahnhof verstanden habe ...




Wenn ich die Zitate richtig verstehe, ist das der aktuell angemeldete Nutzer? Den brauch ich nicht face-wink
Member: mupan7
mupan7 Nov 03, 2014 at 21:05:26 (UTC)
Goto Top
Zitat von @colinardo:

Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

Hallo Uwe,

falls dich oder jemand anderen die PowerShell-Zeile interessiert, zu der das bei mir geführt hat:


$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object  {$_.EventID -eq 1074}) | Sort-Object TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

Danke nochmal.

Viele Grüße

mupan
Member: colinardo
colinardo Nov 03, 2014, updated at Nov 04, 2014 at 08:36:57 (UTC)
Goto Top
Zitat von @mupan7:

> Zitat von @colinardo:
>
> Im System-EventLog nach EventID 1074 / Quelle USER32 Filtern.

$EventLogLastShutdown = ((Get-Eventlog -log System -Source User32 | where-object {$_.EventID -eq 1074}) | Sort-Object
TimeGenerated -Descending | Select-Object TimeGenerated, Message -First 1 | ConvertTo-Html -Fragment)

da hätt's du mich auch gleich nach fragen können face-smile, danke trotzdem für die Ergänzung
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts so aus:
get-winevent -LogName System -FilterXPath 'Event[System[EventID=1074 and Provider[@EventSourceName="User32"]]]' | sort TimeCreated -Desc | select -First 1
:
Grüße Uwe
Member: mupan7
mupan7 Nov 04, 2014 at 11:25:22 (UTC)
Goto Top
Zitat von @colinardo:
da hätt's du mich auch gleich nach fragen können face-smile, danke trotzdem für die Ergänzung

Beim Selbermachen ist der Lerneffekt viel größer.


Zitat von @colinardo:
Wer's lieber mit XPath filtert, um für den Fall der Fälle noch genauere Filtermöglichkeiten zu haben, siehts
so aus:

Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen face-wink
Member: colinardo
colinardo Nov 04, 2014 updated at 11:36:53 (UTC)
Goto Top
Zitat von @mupan7:
Beim Selbermachen ist der Lerneffekt viel größer.
Da stimme ich dir absolut zu !
Ein Link zu einem XPath-in-10-Minuten-Tutorial ist hier sehr willkommen face-wink
Gerne face-smile
Hilft ungemein wenn man vor der Aufgabe steht Event-Logs wesentlich detaillierter eingrenzen zu müssen,da man auf jede Eigenschaft filtern kann.

Grüße Uwe
Member: mupan7
mupan7 Nov 04, 2014 at 11:45:42 (UTC)
Goto Top
Zitat von @colinardo:

OK, ich hatte mir das in meiner Naivität so vorgestellt, dass ich dabei XPath lerne ... hab jetzt beim Überfliegen des Blog-Eintrags gelernt, dass "Event-XML" eine Untermenge des Standard-XPath darstellt. Deshalb ist es leichter und mit weniger Frust verbunden, wie dargestellt Event-XPath-Filter aus dem GUI rauszuziehen.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment