我希望有人能帮助我。 我有一个服务器已closures3个独立的时间,但我不能确定谁确定。 我希望有人能帮我弄清楚Windows事件日志的奥秘。
这是一个不启动Shutdown Tracker的Windows Server 2003 64 buit服务器。
我有以下事件:
17:34:23 – ID 523,576,538 – 用户1解锁工作站(logintypes7 – 它们通过RDP会话)
- 用IPTables保护数据库服务器
- Nginx:安全与条件
- vsftpd关于ubuntu的声音 – “OOPS:孩子死了”
- 如何使用SSL保护Apache服务器之间的私人通信(仅限符号IP)
- “拒绝本地login”效果“是否允许通过terminal服务login”?
17:34:44 – ID 26 – 应用程序popup – 其他人login到这个系统。 closures这台电脑…..
17:34:46 – ID 551 – 用户1启动注销
17:34:49 – ID 551 – 用户2启动注销
17:34:53 – ID 538 – User1注销
17:34:53 – ID 1517 – 无法卸载User2configuration文件
17:34:53 – ID 1516 – User2卸载的configuration文件
17:35:10 – ID 513 – 关机
16:25:32 – ID 523,576,538 – 用户1解锁工作站(logintypes7 – 它们通过RDP会话)
16:25:54 – ID 26 – 应用程序popup – 其他人login到这个系统。 closures这台电脑…..
16:25:56 – ID 551 – User1启动注销
16:25:58 – ID 551 – User2启动注销
10:45:29 – ID – 用户1通过RDPlogin(logintypes10)
11:09:47 – ID 523,576,538 – 用户1解锁工作站(logintypes7)
11:38:11 – ID 26 – 应用程序popup – 其他人login到这个系统。 closures这台电脑…..
11:38:17 – ID 551 – 用户1开始注销
11:38:17 – ID 538 – 用户1注销
11:38:32 – ID 513 – 关机
对我来说,这通常看起来像用户解锁他们的工作站,closures,对piopup说是,然后把他注销,closures服务器。
我知道这并不是什么好事,但这是我的全部。
所以我要问的是,这看起来像我想的那样,我是否需要更多的信息,或者这可能是什么,我肯定需要更多的信息。
当窗口closures时,应该从源“User32”中列出事件ID 1074,列出进程和用户发起关机的过程,关机的types(关机,重启,hibernate等)。