PowerShellקוד

מי כיבה את השרת שלי?

בין אם אתם חולקים הרשאות אדמין (לא מומלץ) עם כמה CISO בקבוצת חברות, או שלפתע ראיתם שהשרת למטה, הפקודה הבאה תעזור לכם להבין מי ומתי כיבה את השרת.

מתחילים

אז איך קורה שהשרת כבוי? בהגדרה אם יש מישהו עם הרשאות אדמין דומייני או אדמין מקומי בשרת, הוא מסוגל לבצע כיבוי.

איך בודקים את זה?

אפשר להיכנס אל הכלי Event Viewer ולחפש את האירועים 1074 או 6008:

ואפשר לקבל הכל בצורה יעילה להשתמש בפקודה הנפלאה הבאה:

Get-EventLog System -After (Get-Date).AddDays(-1) | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | convertto-html | Out-File C:\sdlist.htm

הסבר:

הפקודה למעשה מציגה את האירועים 1074 שהוא למעשה Restart או אירוע 6008 שהוא Shutdown , מי מהמשתמשים הפעיל את הכיבוי, באיזו שעה, ומייצאת את הנתונים שהתקבלו אל קובץ html בשם sdlist.html.

במידת הצורך, במקום מספרי האירועים 1074 או 6008, ניתן להכניס כל מספר אירוע ולקבל תוצאות.

בדוגמה למעלה תחמנו את זה לתקופה של 24 שעות אחרונות, אך ניתן להשתמש בפקודה הבאה לקבלת מידע מקיף יותר אחורה:

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

התוצאה:

2019.k.local 04/05/2021 16:52:18 K\bdi             

1074 The process C:\Windows\system32\SystemSet
tingsAdminFlows.exe (2019) has
initiated the power off of computer
2019 on behalf of user
K\bdi for the following reason:
Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: power off
Comment:

כאן תוכלו למצוא את כל סוגי ה-Events הקיימים כקובץ csv.

להורדה כאן:

תודה ללב על שדרוג הפקודה לפי תזמון בדיקה של 24 שעות

Rami

יזם, איש סיסטם, מתכנת בחסד, ונושם אינטרנט.

מאמרים קשורים

Leave a Reply

Your email address will not be published. Required fields are marked *

אתה תאהב גם את זה
Close
Back to top button