Windows код события 1074
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Event ID 1074 — Random and unsolicited system shutdown.
I’m currently working between several help forums and my motherboard manufacturer’s technical support to solve an abhorrent behavior of my Windows 7 x64 desktop. The issue begins with a clean shutdown, completely at random, without my consent and definitely against my will. Try as I might this process cannot be stopped. Clicking the «Cancel Shutdown» button that appears as it tries taking out the slower-closing processes only prolongs the inevitable in this process. Once this is complete, on occassion the system will attempt to restart on its own moments after the shutdown, and will fail. Sometimes it will skip that, and simply go to the next phase of this concerning issue, which is an unresponsive state. The system will not respond to either the power button on my case, or the button embedded onto the motherboard for just such situations. The only method by which to then turn the computer back on involves unplugging and switching off the PSU of my computer until an LED on the board which indicates current is present in it shuts off. After which I may immediately replug the system back in, and it will then function appropriately for months at a time. The issue is massively sporadic in nature and does not necessarily contain any common ground as far as I can discern. It will occur during light web browsing, during gaming, and even while unattended. My system has been stress-tested, memory checked, voltage metered, and temp monitored rigorously to no avail. It is not over-clocked. I understand the scope of this forum does not likely extend beyond the scope of software, so my expectations of solution are narrowed to merely hoping that I might be given some support on how I might identify what, if any, hardware or components in my system would be calling for a system shutdown in this manner? Within the logs I’m familiar with using, the only potentious bit standing out is a log from a recent incident where I attempted to stop it so as to save something I was working on before it shut down. This is the log from event viewer:
«The process C:\Windows\system32\winlogon.exe (TAQUITO) has initiated the power off of computer TAQUITO on behalf of user Taquito\MasterDXL for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
I’ll also quote my hardware configuration from my post in the motherboard manufacturer’s forums for reference, in the event there are some known software compatibility issues with any of the devices I’m running with that might bear some culpability for this. Ultimately I just want to find what component is responsible for this so that I can have it replaced/repaired if possible, because I feel it is likely some ACPI command being sent by something faulty in the system, be it driver-level or otherwise. Any help would be greatly appreciated!
Сервер Windows сам выключается – событие user32 event 1074
Привет. Недавно столкнулся с очень неприятной ситуацией — часть серверов начала самопроизвольно выключаться. Какой — либо закономерности в выключениях проследить не удавалось. Единственное что объединяло серверы — это то что на них была установлена ОС Windows Server 2012 или выше, и большая их часть имеет роль терминальных. Ах да, еще все эти серверы — виртуальные и работают под управлением Hyper V. Хочу сегодня рассказать, в чем была проблема.
Конечно, любая диагностика должна начинаться с анализа логов. И вот какое событие удалось обнаружить непосредственно перед выключениями серверов – событие 1074, user32:
The process C:\Windows\system32\winlogon.exe (DC) has initiated the power off of computer DC on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
По ним становится понятно, что работа завершается штатно. Что в общем то позволяет исключить влияние железа, хотя оно и так было исключено, т. к. все серверы виртуальные. Под подозрение попал гипервизор, но рысканье вдоль и поперек по логам ни какого результата не дало. События относящиеся к завершениям работы не имели отношения к инициализации завершения работы. Говорят, что виртуальные машины могут в редких случаях произвольно выключаться, если есть проблемы со свободной памятью, но в моем случае памяти было более чем достаточно.
В общем думаю хватит томить, и пора рассказать вам, в чем же в итоге было дело. Подключившись по RDP, я сидел и размышлял, что же может быть причиной подобного завершения работы. И вот из-за бездействия меня выбило на экран ввода пароля, где я обнаружил вот такой экран:
Обратите внимание на нижний угол:
Да, это мать его, завершение работы системы. Оказывается с 2012 винды MS сделали эту кнопку доступной при подключении по RDP.
Отвечает за эту кнопку параметр в групповой политике —
Computer Configuration – Policies – Windows Settings – Local Policies – Security Options – Shutdown: Allow system to be shut down without having to log on.
Отключаем его и всё, возможности выключить сервер у пользователей не будет.
Почему в моем случае этот параметр оказался включенным — остается загадкой. Скорее всего кто-то когда-то давным-давно его включил. Хотя, не исключаю, что он оказывается включенным при переходе с 2008 домена, проверять, честно говоря, лень. Кто в курсе, напишите в комментариях, в каком состоянии находится этот параметр при добавлении контроллера домена Windows 2012 в домен с уровнем 2008r2 или ниже.
В общем и целом, после изменения этого параметра мистические выключения прекратились.
Win 7 перезагружается
переиодически
выскакивает окно что компьютер будет перезагружен через 1 минуту, в журнале такая запись
has initiated the restart of for the following reason: No title for this reason could be found.
Minor Reason:
Shutdown Type:
English: This information is only available to subscribers. An example of English, please!
Comments:
EventID.Net
As a general statement, this event records a system shutdown or restart in order for the administrators of that system to have a better understanding on how often and for what reasons the computer is shutdown or restarted. The event contains details about the process (the program) that performed this task, the computer that was affected and when applicable, the reason for the restart or shutdown. Also, the type of operation is recorded: restart when a user or an application initiates a system restart, shutdown when the system is sent a shutdown request or power off when the power button is pressed (and that initiates a shutdown).
The process listed in the event provides an important clue as to who or what initiated the shutdown or the restart. Processes related the user’s environment such as Exlorer.exe or Winlogon indicate that the shutdown was initiated by a user while other type of processes such as svchost.exe.
The comment shown in the event description is something that can be specified by the process that initiates the shutdown. For example, if an application is installed and the installer script requires a restart one may see a comment like «The Windows Installer initiated a system restart to complete or continue the configuration of «. Users of shutdown.exe command can also specify a text to be recorded as comment.
Click if the comment is good! x 11
Anonymous
— Proccess: Lsass.exe — In my case, M818080 helped me solve the problem.
Click if the comment is good!
EventID.Net
— Process: Lsass.exe — See M897648, M911185 and M915335 for three hotfixes applicable to Microsoft Windows Server 2003.
Click if the comment is good! x 1
EventID.Net
— Reason: 0x2 — I received this event after the automatic installation of KB900485 through Windows Update Agent. Therefore, this can be translated to: updates that require reboot were installed.
Click if the comment is good! x 4
Anonymous
I am using Microsoft SUS (Software Update Services) to push Windows updates and this message is generated when a machine is automatically rebooted, once an update that requires a reboot is installed.
Click if the comment is good! x 1
Why bother deciphering Event logs when GFI EventsManager can do everything for you? Free trial here!
Anne Jan Elsinga
This also happens when you manually kill the process «Remote Procedure Calls» also know as svchost.
Click if the comment is good! x 2
EventID.Net
— Process: Explorer.exe — As per Microsoft: «Shutdown Event Tracker is a Microsoft Windows Server 2003 and Microsoft Windows XP feature that you can use to consistently track the reason for system shutdowns. You can then use this information to analyze shutdowns and to develop a more comprehensive understanding of your system environment. Shutdown Event Tracker logs events that are similar to this one in the system event log». See M293814 and MSW2KDB for more details.
Click if the comment is good!
Brendan Stephens
This error may be contributed to security issue identified, or virus known as W32.Blaster.Worm. The Virus brodcasts from the local machine, and may cause a buffer overrun in RPC, allowing code execution, or RCP may terminate unexpectedly.
See the link to the Symantec Virus information and removal tool, MS03-026 and RPC DCOM WORM (MSBLASTER).
Click if the comment is good! x 6
Профиль | Отправить PM | Цитировать 
