Nếu công ty của bạn có một số quản trị viên hệ thống, đôi khi bạn có thể muốn biết ai đã khởi động lại máy chủ. Trong bài viết này, mình sẽ chỉ cho bạn cách xác định người dùng đã khởi động lại hoặc tắt máy tính/máy chủ chạy Windows bằng Event Logs.
Thông tin về tài khoản người dùng đã gửi lệnh khởi động lại được lưu trữ trong Windows Event Log.
1. Mở Event Viewer (eventvwr.msc) và đi tới Windows Logs > System.
2. Sử dụng Event Log bằng cách nhấp vào Filter Current Log.
3. Trong bộ lọc, nhập EventID 1074 và bấm OK.
4. Chỉ các sự kiện tắt máy (restart) sẽ được để lại trong danh sách nhật ký. Mở event cuối cùng.
5. Event có User32 làm nguồn hiển thị người dùng đã khởi động lại Windows. Trong ví dụ này, đó là người dùng novak.
The process C:\Windows\Explorer.EXE has initiated the restart of computer MUN-DC03 on behalf of user WOSHUB\novak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:
 Windows Server){kind=link}
Cộng Đồng