Det er flere måter å sjekke hvem som startet på nytt eller stengte en Windows-server. Her er noen få metoder:

1. Event Viewer:

- Åpne Event Viewer ved å trykke Windows-tast + R , skriv "eventvwr.msc", og trykk Enter .

- Utvid "Windows Logger" i venstre rute og velg "System".

– Se etter hendelser med hendelses-ID-er 1074 for systemavslutning og 1076 for omstart av systemet.

- Dobbeltklikk på hendelsen for å se detaljer som brukeren som startet handlingen og tidspunktet den fant sted.

2. Revisjonspolicy:

- Åpne Local Group Policy Editor ved å trykke Windows-tast + R , skriv "gpedit.msc", og trykk Enter .

- Naviger til Datamaskinkonfigurasjon> Windows-innstillinger> Sikkerhetsinnstillinger> Lokale retningslinjer> Revisjonspolicy .

- Dobbeltklikk på "Revisjonsprosesssporing" og sørg for at den er satt til "Suksess".

- Etter omstart eller avslutning går du tilbake til denne innstillingen og kontrollerer hendelsesloggene for hendelses-ID-er 4634 (avlogging startet) og 4647 (vellykket avslutning eller omstart).

3. Ledetekst:

- Åpne ledetekst som administrator.

- Kjør følgende kommando:

```

netto kontoer

```

- Dette vil vise en liste over brukerkontoer og gi informasjon om siste påloggings- og avloggingstider.

4. Sikkerhetslogg:

- Åpne Event Viewer (som nevnt i metode 1).

- Utvid "Windows Logger" og velg "Sikkerhet".

- Se etter hendelser relatert til brukerpålogginger og utlogginger. Hendelses-ID-er 4624 , 4634 , 4647 og 4672 er spesielt relevante for å spore omstarter og nedleggelser av system.

Ved å kombinere disse metodene kan du effektivt overvåke og identifisere hvem som startet på nytt eller stengte Windows-serveren din, sammen med den tilsvarende tiden og detaljene for handlingen.