מי כיבה את השרת שלי?
בין אם אתם חולקים הרשאות אדמין (לא מומלץ) עם כמה CISO בקבוצת חברות, או שלפתע ראיתם שהשרת למטה, הפקודה הבאה תעזור לכם להבין מי ומתי כיבה את השרת.
מתחילים
אז איך קורה שהשרת כבוי? בהגדרה אם יש מישהו עם הרשאות אדמין דומייני או אדמין מקומי בשרת, הוא מסוגל לבצע כיבוי.
איך בודקים את זה?
אפשר להיכנס אל הכלי Event Viewer ולחפש את האירועים 1074 או 6008:
ואפשר לקבל הכל בצורה יעילה להשתמש בפקודה הנפלאה הבאה:
Get-EventLog System -After (Get-Date).AddDays(-1) | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | convertto-html | Out-File C:\sdlist.htm
הסבר:
הפקודה למעשה מציגה את האירועים 1074 שהוא למעשה Restart או אירוע 6008 שהוא Shutdown , מי מהמשתמשים הפעיל את הכיבוי, באיזו שעה, ומייצאת את הנתונים שהתקבלו אל קובץ html בשם sdlist.html.
במידת הצורך, במקום מספרי האירועים 1074 או 6008, ניתן להכניס כל מספר אירוע ולקבל תוצאות.
בדוגמה למעלה תחמנו את זה לתקופה של 24 שעות אחרונות, אך ניתן להשתמש בפקודה הבאה לקבלת מידע מקיף יותר אחורה:
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
התוצאה:
2019.k.local 04/05/2021 16:52:18 K\bdi 1074 The process C:\Windows\system32\SystemSet tingsAdminFlows.exe (2019) has initiated the power off of computer 2019 on behalf of user K\bdi for the following reason: Other (Unplanned) Reason Code: 0x5000000 Shutdown Type: power off Comment:
כאן תוכלו למצוא את כל סוגי ה-Events הקיימים כקובץ csv.
להורדה כאן: