|
Il existe plusieurs façons de vérifier qui a redémarré ou arrêté un serveur Windows. Voici quelques méthodes :
1. Observateur d'événements :
- Ouvrez l'Observateur d'événements en appuyant sur Touche Windows + R , tapez "eventvwr.msc" et appuyez sur Entrée .
- Développez « Journaux Windows » dans le volet de gauche et sélectionnez « Système ».
- Recherchez les événements avec les ID d'événement 1074 pour l'arrêt du système et 1076 pour le redémarrage du système.
- Double-cliquez sur l'événement pour voir des détails tels que l'utilisateur qui a initié l'action et l'heure à laquelle elle s'est produite.
2. Politique d'audit :
- Ouvrez l'éditeur de stratégie de groupe local en appuyant sur Touche Windows + R , tapez "gpedit.msc" et appuyez sur Entrée .
- Accédez à Configuration de l'ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Stratégie d'audit. .
- Double-cliquez sur « Suivi du processus d'audit » et assurez-vous qu'il est défini sur « Succès ».
- Après un redémarrage ou un arrêt, revenez à ce paramètre et vérifiez les journaux d'événements pour les ID d'événement 4634. (déconnexion initiée) et 4647 (arrêt ou redémarrage réussi).
3. Invite de commande :
- Ouvrez l'invite de commande en tant qu'administrateur.
- Exécutez la commande suivante :
```
comptes nets
```
- Cela affichera une liste des comptes d'utilisateurs et fournira des informations sur les dernières heures de connexion et de déconnexion.
4. Journal de sécurité :
- Ouvrez l'Observateur d'événements (comme mentionné dans la méthode 1).
- Développez « Journaux Windows » et sélectionnez « Sécurité ».
- Recherchez les événements liés aux connexions et déconnexions des utilisateurs. ID d'événement 4624 , 4634 , 4647 , et 4672 sont particulièrement pertinents pour suivre les redémarrages et les arrêts du système.
En combinant ces méthodes, vous pouvez surveiller et identifier efficacement qui a redémarré ou arrêté votre serveur Windows, ainsi que l'heure et les détails correspondants de l'action.
|
