Det finns flera sätt att kontrollera vem som startade om eller stängde av en Windows-server. Här är några metoder:
1. Event Viewer:
- Öppna Event Viewer genom att trycka på Windows-tangent + R , skriv "eventvwr.msc" och tryck på Retur .
- Expandera "Windows Logs" i den vänstra rutan och välj "System".
- Leta efter händelser med händelse-ID 1074 för systemavstängning och 1076 för omstart av systemet.
- Dubbelklicka på händelsen för att se detaljer som användaren som initierade åtgärden och tidpunkten då den inträffade.
2. Revisionspolicy:
- Öppna Local Group Policy Editor genom att trycka på Windows-tangenten + R , skriv "gpedit.msc" och tryck på Retur .
- Navigera till Datorkonfiguration> Windows-inställningar> Säkerhetsinställningar> Lokala policyer> Granskningspolicy .
- Dubbelklicka på "Revisionsprocessspårning" och se till att den är inställd på "Framgång".
- Efter en omstart eller avstängning, återgå till den här inställningen och kontrollera händelseloggarna för händelse-ID:n 4634 (utloggning initierad) och 4647 (lyckad avstängning eller omstart).
3. Kommandotolk:
- Öppna kommandotolken som administratör.
- Kör följande kommando:
```
nettokonton
```
- Detta kommer att visa en lista över användarkonton och ge information om de senaste inloggnings- och utloggningstiderna.
4. Säkerhetslogg:
- Öppna Event Viewer (som nämnts i metod 1).
- Expandera "Windows-loggar" och välj "Säkerhet".
- Leta efter händelser relaterade till användarinloggningar och utloggningar. Händelse-ID:n 4624 , 4634 , 4647 och 4672 är särskilt relevanta för att spåra omstarter och avstängningar av system.
Genom att kombinera dessa metoder kan du effektivt övervaka och identifiera vem som startade om eller stängde av din Windows-server, tillsammans med motsvarande tid och detaljer för åtgärden.
