4 votos

Códigos de eventos de Windows para inicio/apagado bloqueo/desbloqueo

Estoy tratando de construir una lista de identificaciones de eventos que puedan ser usadas para determinar cuando la máquina ha sido apagada, encendida, bloqueada y desbloqueada. Hasta ahora, he encontrado 6 identificaciones de eventos que parecen ser los mejores candidatos, pero me preguntaba si había una mejor manera de determinarlo.

A continuación hay una lista de ID de eventos que he encontrado útiles (1, 1074, 6005, 6006, 4800, 4801) de las fuentes "Power-Troubleshooter", "User32", "EventLog" y "Microsoft Windows security auditing". Estos son de Windows 10 (v1511) y actualmente Windows 10 es mi único requisito de destino ya que es lo que corren todas las máquinas cliente.

List of event Ids

Aquí hay un ejemplo de filtro de consulta que he construido que

<QueryList>
  <Query Id="0" Path="System">
    <!-- Shutdown -->
    <Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Event Service Stop/Start -->
    <Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Startup -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Machine Lock/Unlock -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>
  </Query>
</QueryList>

He dividido deliberadamente las fuentes en la consulta y se pueden unir, pero esto sacrifica la legibilidad de la OMI.

Mi pregunta es si hay un mejor grupo de identificaciones de eventos o una mejor consulta que pueda usar. ¿Hay identificaciones de eventos que me faltan o que estoy duplicando?

0 votos

Me pregunto si habrá versiones específicas y cuántas de ellas. Puede que haya que centrarse en una versión o familia o algo así.

0 votos

@ToddWilcox Estos son de Windows 10 (v1511) pero no parece haber una fuente de registro genérica para este tipo de eventos y sí parece que estoy duplicando (como el arranque y el inicio del servicio de eventos).

0 votos

Espero/espero que al menos Server 2016 pueda tener los mismos IDs de eventos o al menos solapados con Windows 10, pero quizás no.

8voto

Refiriéndome a tu petición sobre los IDs de eventos de arranque y apagado, he hecho la siguiente lista basada en una máquina con Windows 10. El punto principal es que dependiendo de la acción de apagado (reinicio planificado, apagado planificado, apagado inesperado o caída del proceso LSASS), los eventos generados serán diferentes:

  • 1074 El proceso Explorer.EXE ha iniciado el apagado del ordenador en nombre del usuario por el siguiente razón: Otros (no planificado)
  • 6006 El servicio de registro de eventos se ha detenido.
  • 109 El gestor de energía del kernel ha iniciado una transición de apagado.
  • 13 El sistema operativo se apaga a la hora del sistema
  • 20 El estado de éxito del último cierre fue verdadero. El estado de éxito del último arranque fue verdadero.
  • 12 El sistema operativo se inició a la hora del sistema
  • 6005 Se ha iniciado el servicio de registro de eventos.
  • 6013 El tiempo de actividad del sistema es de 10 segundos.

Para dejar claro resumen sobre esas diferentes acciones de cierre, hice la siguiente tabla. Espero que sea de ayuda.

shutdown events

0 votos

Gracias por esta lista. Hay varios aquí que he mirado previamente, pero parecen estar "duplicando" los eventos existentes. No he mirado los eventos del Kernel-* por la misma razón, pero el uso de la lista proporcionada debería ayudar a dar una indicación mucho más clara del estado de la máquina cliente. Muchas gracias de nuevo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: