В организациях с несколькими системными администраторами часто возникает необходимость выяснить, кто инициировал перезагрузку или выключение сервера Windows. Информация о таких действиях сохраняется в журнале событий Windows, что позволяет точно определить пользователя или процесс, ответственный за событие. В этой статье мы разберём, как найти инициатора перезагрузки с помощью Event Viewer, PowerShell и анализа событий с EventID 1074 и 6008.
Поиск инициатора перезагрузки через журнал событий
Журнал событий Windows фиксирует данные о пользователе или процессе, отправившем команду на перезагрузку или выключение. Чтобы найти эту информацию:
1. Откройте Просмотр событий с помощью команды:
eventvwr.msc
2. Перейдите в раздел Журналы Windows → Система (Windows Logs → System).
3. В правой панели выберите Фильтр текущего журнала (Filter Current Log).
4. В поле ИД события укажите 1074 и нажмите ОК.
5. В отфильтрованном списке откройте любое событие с EventID 1074.
В описании события от источника User32 будет указано имя пользователя, инициировавшего перезагрузку. Например, пользователь softuser. Если указан NT AUTHORITY\SYSTEM, перезагрузку запустила системная служба или программа, такая как wuauserv (служба обновлений Windows), настроенная на автоматическую перезагрузку после установки обновлений.
Примеры событий перезагрузки
Разные сценарии перезагрузки или выключения могут указывать на различные причины и инициаторов:
— Перезагрузка из-за обновлений Windows:
Если перезагрузка вызвана службой wuauserv или заданием PSWindowsUpdate, в событии будет указан NT AUTHORITY\SYSTEM. Это происходит, если в политике Windows Update настроена автоматическая перезагрузка.
— Перезагрузка виртуальной машины VMware:
Если сервер работает на VMware, команда Restart Guest из консоли VMware генерирует событие:
The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown
В этом случае инициатор — NT AUTHORITY\SYSTEM, так как перезагрузка выполнена через службы интеграции VMware Tools.
Поиск событий перезагрузки с помощью PowerShell
Для автоматизации анализа журнала событий используйте PowerShell. Следующие команды помогут быстро найти информацию о перезагрузках.
Получение всех событий EventID 1074
Выведите список событий с EventID 1074:
Get-WinEvent -FilterHashtable @{logname='System';id=1074} | Format-Table TimeCreated,Id,Message
Команда возвращает даты, идентификаторы и описания всех перезагрузок и выключений.
Краткий отчёт о последних 10 событиях
Используйте скрипт для вывода последних 10 событий с указанием пользователей и процессов:
Get-EventLog -LogName System | Where-Object {$_.EventID -eq 1074} | Select-Object -First 10 | ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, Process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6] $rv.Process = $_.ReplacementStrings[0] $rv.Action = $_.ReplacementStrings[4] $rv.Reason = $_.ReplacementStrings[2] $rv
}
} | Select-Object Date, Action, Reason, User, Process | Format-Table
Скрипт показывает дату, действие, причину, пользователя и процесс, инициировавший перезагрузку.
Анализ событий на удалённом сервере
Чтобы проверить журнал событий на удалённом компьютере:
Invoke-Command -ComputerName rds2-12 -ScriptBlock {
Get-WinEvent -FilterHashtable @{logname='System';id=1074} | Select-Object TimeCreated,Id,Message -First 1
}
Команда использует PSRemoting для получения последнего события EventID 1074 с удалённого сервера, например, rds2-12.
Анализ нештатных перезагрузок
Событие EventID 1074 фиксирует только штатные перезагрузки и выключения. Для нештатных ситуаций, таких как сбой питания или BSOD (синий экран), ищите события с EventID 6008:
The previous system shutdown at 4:34:49 AM on 1/17/2022 was unexpected.
Эти события указывают на неожиданное завершение работы, но не содержат информации о пользователе.
Ограничения и рекомендации
— Очистка журналов: Если журнал событий был очищен или старые записи перезаписаны, определить инициатора перезагрузки невозможно.
— Размер журналов: В доменной среде увеличьте размер журналов событий через групповые политики (GPO), чтобы сохранить больше данных.
— Мониторинг: Настройте централизованный сбор журналов событий с помощью Windows Event Collector или SIEM-систем для упрощения анализа.
— Резервное копирование: Регулярно экспортируйте журналы событий для сохранения истории:
wevtutil epl System C:\Logs\SystemBackup.evtx
Дополнительные советы
— Если перезагрузка вызвана обновлениями Windows, проверьте настройки Windows Update в GPO или локальной политике.
— Для виртуальных машин анализируйте логи гипервизора (VMware, Hyper-V), чтобы выявить команды управления.
— Используйте PowerShell-скрипты для автоматизации мониторинга перезагрузок и отправки уведомлений администраторам.
Следуя этим шагам, вы сможете точно определить, кто или что инициировало перезагрузку или выключение сервера Windows, а также выявить причины нештатных сбоев.
