Averigüe quién reinició el kernel de Windows Server - Guía de bonificación

En esta publicación, le mostraré cómo encontrar un usuario que haya reiniciado Windows Server Core. Con Server Core será un poco difícil averiguar quién lo reinició. Pero te lo haré más fácil.

Algunas organizaciones prefieren usar Windows Server Core OS porque elimina servicios y características que no son necesarios para admitir algunas funciones de servidor de uso frecuente. El kernel de Windows Server tiene muchos beneficios. Además, existen muchas diferencias entre un servidor de escritorio y un kernel de servidor.

Al acercarse a la parte en la que desea encontrar al usuario que reinició el kernel de Windows Server, debe encontrar una forma de leer los registros desde el visor de eventos. El kernel de Windows registra todos los eventos como un servidor normal, pero no puede ejecutar visores de eventos en el kernel del servidor.

Hay lo que se llama como Rastreador de eventos de apagado. Esto permite a los administradores realizar un seguimiento de por qué el usuario inició el apagado o el reinicio. Sin embargo, con el kernel de Windows Server, no recibe un rastreador de excepciones cuando se reinicia el servidor.

En la lista de parámetros de SCONFIG, el parámetro 13 le permite reiniciar el kernel de Windows Server. Hacer clic reinicia el servidor sin mostrar el rastreador de eventos de apagado.

Reiniciar Windows Server Core
Reiniciar Windows Server Core

Entonces, ¿cómo se leen los registros de eventos del kernel de Windows Server? La respuesta es usar PowerShell. En una de mis publicaciones, hablé sobre cómo encontrar quién reinició Windows Server. En esta publicación, utilicé el ID de evento 1074 para encontrar al usuario que reinició el servidor de Windows. Usaremos el mismo ID de evento 1074 para encontrar quién reinició el kernel del servidor de Windows.

En el kernel de su servidor predeterminado, verá la línea de comando. Ingrese el comando Potencia Shell y con eso ahora puede ingresar comandos de PowerShell.

Primero usaremos un comando simple para obtener una lista de registros en el visor de eventos.

Get-EventLog -list
Leer registros de eventos en Windows Server Core
Leer registros de eventos en Windows Server Core
Índice

Descubra quién reinició Windows Server Core

Para averiguar quién reinició el kernel de Windows Server, filtramos los registros del sistema con el ID de evento 1074 o filtramos los registros con una fuente como User32. Ambos deben conducir a la misma salida y puede elegir cualquiera.

Ejecute el siguiente comando para filtrar los registros del sistema con una fuente como User32.

Get-EventLog -LogName System | Where Source -eq User32
Descubra quién reinició Windows Server Core
Descubra quién reinició Windows Server Core

También puede filtrar los registros del sistema con el ID de evento 1074 con el siguiente comando.

Get-EventLog -LogName System | Where EventID -eq 1074
Descubra quién reinició Windows Server Core
Descubra quién reinició Windows Server Core

Aunque ahora vemos que hay 4 logs que se filtran por Id. de evento 1074 o fuente como Usuario32 pero no se pueden leer porque el texto del mensaje está truncado. Aquí viene en ayuda del mensaje Format-List.

Si desea encontrar al usuario que reinició el kernel de Windows Server, aquí está el último comando.

Get-EventLog -LogName System | Where EventID -eq 1074 | Format-List Message
Descubra quién reinició Windows Server Core
Descubra quién reinició Windows Server Core

Conéctese para ver eventos en Windows Server Core

¿Qué tal ejecutar Event Viewer y conectarlo a una ordenador remota, es decir, al kernel de Windows Server?. Sí, esto también funcionará y luego puede filtrar los registros de eventos con el ID de evento 1074 y encontrar al usuario que reinició el kernel del servidor.

Una cosa a tener en cuenta es el firewall predeterminado en el kernel del servidor. SOBRE. Por lo tanto, no le permitirá conectarse al visor de eventos. Así que tienes que cuidarlo primero.

Para conectarse al visor de eventos en Windows Server Core, ejecute el visor de eventos en el servidor miembro. Botón derecho del ratón Visor de eventos (local) y seleccione Conectarse a otra ordenador.

Conéctese para ver eventos en Windows Server Core
Conéctese para ver eventos en Windows Server Core

En el cuadro Seleccione una ordenador, escriba un nombre para el ordenador Server Core y luego haga clic en bien.

Conéctese para ver eventos en Windows Server Core
Conéctese para ver eventos en Windows Server Core

Ahora se ha conectado con éxito para ver eventos en el kernel del servidor. Seleccione los registros del sistema y filtre el registro actual Id. de evento 1074. Ahora puede encontrar al usuario que reinició el kernel de Windows Server.

Descubra quién reinició Windows Server Core
Descubra quién reinició Windows Server Core


Si quieres conocer otros artículos similares a Averigüe quién reinició el kernel de Windows Server - Guía de bonificación puedes visitar la categoría Windows Server.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información