Theo dõi người dùng tắt máy với nhật ký hệ thống của Windows
Tôi sẽ chứng minh làm thế nào để xem ngày, thời gian, và chi tiết tất cả các sự kiện tắt máy/khởi động lại người dùng của trong Event Viewer trong Windows 7, Windows 8 và Windows Server 2008, 2012
Dưới đây là vài ID sự kiện để theo dõi tình trạng tắt máy / khởi động lại:
- 6005: Windows start-up
- 6006: Windows shutdown (đúng)
- 6008: Windows shutdown (bất ngờ)
- 1074: Loại tắt máy.
Dưới đây là mô tả cho chung:
- ID sự kiện 6005 ghi lại vào lúc khởi động máy. Nó ghi với nội dung “The Event log service was started”
- ID sự kiện 6006 được ghi lúc shutdown đúng cách. Nó đưa ra thông điệp “The Event log service was stopped”.
- ID sự kiện 6008 được ghi lại khi shutdown tắt máy không đúng cach. Nó đưa ra thông điệp “The previous system shutdown at time on date was unexpected”.
- ID sự kiện 1074 được tạo ra khi một ứng dụng làm cho hệ thống để khởi động lại, hoặc khi người dùng bắt đầu khởi động lại hoặc tắt máy
Các bước để theo dõi các sự kiện tắt máy:
- Nhấn phím Cửa sổ + R, mở run và gõ eventvwr.msc.
2 Lọc các bản ghi sự kiện cho sự kiện 6005, 6006, 6008 như:
Sự kiện ID của 6005 và 6006 cho thấy một shutdown thích hợp và dịch vụ ghi với dòng:”The Event log service was started” . Và 6005 và 6008 cho thấy tắt máy bất ngờ và ghi với “The previous system shutdown at time on date was unexpected”.
3. Bây giờ lọc cho ID sự kiện ID 1074. Điều này sẽ cung cấp một thông tin chi tiết về người dùng, loại, thời gian người dùng tắt máy.
Thank for you!
0 comments:
Post a Comment