温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

怎么从日志中查看计算机是否重启和关机

发布时间:2021-11-09 17:58:03 来源:亿速云 阅读:1613 作者:小新 栏目:云计算

这篇文章主要介绍了怎么从日志中查看计算机是否重启和关机,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。

当我们想知道某台计算机是否曾关机重启过,从日志中怎么发现这一信息呢?
一、用“事件查看器”中的“系统”这一项,如果你发现多个例如“9/14/2010,5:44:48 PM,EventLog,Information,None,6005,N/A,GBTAVA01,The Event log service was started.
9/14/2010,5:44:48 PM,EventLog,Information,None,6009,N/A,GBTAVA01,Microsoft (R) Windows (R) 5.02. 3790 Service Pack 2 Multiprocessor Free.
9/14/2010,5:40:51 PM,EventLog,Information,None,6006,N/A,GBTAVA01,The Event log service was stopped.”这样的信息,一般来说都是系统有过相关的重启或关机; 看看该日志是不是在你启动电脑时生成的,如果不是,就是非正常重启过,或者别人人为重启过。 
二、在运行里面输入“gpedit.msc”,打开组策略编辑器,在里面依次打开“计算机配置--管理模版--系统”,然后在右边的的窗口中找到“显示关闭跟踪程序”的设置项,用鼠标单击该项,选择“属性”,在“显示关闭跟踪程序属性”对话框中选择“启用”,再单击确认即可。在重启或关机时,会需要输入信息,这样通过反查这样的信息就可以发现踪迹了。例如:
9/14/2010,3:31:09 PM,USER32,Information,None,1074,NT AUTHORITY\SYSTEM,GBTAVA01,"The process svchost.exe has initiated the restart of computer GBTAVA01 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
 Reason Code: 0x80070020
 Shutdown Type: restart
 Comment: "                  这是shutdown -i中的远程重启跟踪信息。
9/14/2010,5:31:05 PM,USER32,Information,None,1074,BEIJING\administrator,GBTAVA01,"The process Explorer.EXE has initiated the restart of computer GBTAVA01 on behalf of user BEIJING\Administrator for the following reason: Other (Planned)
 Reason Code: 0x85000000
 Shutdown Type: restart
 Comment: restart_20100914"    这是本机关机跟踪程序对话框的重启信息。

三、用“事件查看器”中的“安全”这一项,可以发现账户登录和注销、系统退出的信息,这样来判断系统有过相关的重启或关机。例如:
9/14/2010,5:44:52 PM,Security,Success Audit,Logon/Logoff ,528,NT AUTHORITY\SYSTEM,GBTAVA01,"Successful Logon:
  User Name: SYSTEM
  Domain:  NT AUTHORITY
  Logon ID:  (0x0,0x3E7)
  Logon Type: 0
  Logon Process: -
  Authentication Package: -
  Workstation Name: -
  Logon GUID: -
  Caller User Name: -
  Caller Domain: -
  Caller Logon ID: -
  Caller Process ID: 4
  Transited Services: -
  Source Network Address: -
  Source Port: -
"
9/14/2010,5:40:51 PM,SECURITY,Success Audit,System Event ,513,N/A,GBTAVA01,Windows is shutting down. All logon sessions will be terminated by this shutdown。

感谢你能够认真阅读完这篇文章,希望小编分享的“怎么从日志中查看计算机是否重启和关机”这篇文章对大家有帮助,同时也希望大家多多支持亿速云,关注亿速云行业资讯频道,更多相关知识等着你来学习!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI