最近公司一台伺服器會無預警的自動關機
事件檢視器中無相關記錄
os是2000sp4
有在效能記錄及警示中的追踨記錄檔記錄系統提供者所記錄的事件
我選了處理程序之建立/刪除、引線之建立/刪除、磁碟建立/刪除、網路建立/刪除
但要如何看內容丫= =???
或有人能提供建議經驗分享嗎??感恩!!
已邀請的邦友 {{ invite_list.length }}/5
ghost234提到:
個人猜想,是不是user遠登要退出時,按到關機而不是登出
所以才想問一下前輩
你們的伺服器開放給一般用戶遠端桌面登入嗎? 不是應該只有IT人員才可以登入到伺服器桌面環境的? ..... 
請在事件檢視器的「系統」項目中, 尋找以下的 Event ID:
如果出現 Event 6006, 代表在那個時間點, 有人下了關機指令, 系統正常關機.
如果出現 Event 6008, 代表在那個時間點, OS 無預警的被強制關閉, 需再往前查其他原因.
喔喔,原來是要看6006或6008
我剛查了一下
事件類型: 資訊
事件來源: EventLog
事件類別目錄: 無
事件識別碼: 6006
日期: 2011/1/5
時間: am 10:45:36
使用者: 不適用
描述:
事件日誌服務已中止。
資料:
0000: 05 00 00 00 ....
所以我進AD去看這個時間點那一個帳戶做登入登出就可以找出是誰關的機是嗎?
ghost234提到:
所以我進AD去看這個時間點那一個帳戶做登入登出就可以找出是誰關的機是嗎?
是的, 請從這個時間點往前查即知....
感謝大大的指導
剛突然想到該伺服器並未加入AD ^^||
所以在DC中查不到
而且該伺服器的安全性並沒有記錄(是沒值,因為沒開此功能???)
==============================
USER端會先遠端至該伺服器
輸入本機(伺服器)帳密登入(非網域)
使用AP
這樣就很難查了....建議從此下手:
感謝大大的指導
前後30分大多是1111跟1106
就是無印表機驅動要求安裝的訊息
目前先把本機原則中的關機選項拿掉(如果真的是USER去按關機的話)
並開啟安全性記錄
再觀察看看~~
iThome鐵人賽
看影片追技術