источник user32 код события 1074 windows 7
Источник user32 код события 1074 windows 7
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Неправильный код причины остановки, написанный в SEL при инициированном пользователем отключении
В этой статье содержится решение проблемы о том, что неправильный код причины остановки, написанный в SEL при инициированном пользователем отключении.
Применяется к: Windows Server 2012 R2, Windows 7 Пакет обновления 1
Исходный номер КБ: 2001061
Симптомы
Имя журнала: System
Источник: USER32
Дата:
ID события: 1074
Категория задач: Нет
Уровень: Сведения
Ключевые слова: Классический
Пользователь: Computername\Administrator
Computer: Computername
Описание:
Процесс C:\Windows\system32\winlogon.exe инициировал отключение компьютера от имени пользователя \Администратора по следующей причине: название по этой причине не было найдено.
Код причины: 0x500ff
Тип отключения: отключение питания
Событие 0x000500FF (сбой системы) записывалось в ЖУРНАЛ событий sel (System Event Log), даже если пользователь, иницивший остановку, предоставил другую причину остановки.
Причина
Корпорация Майкрософт подтвердила, что это проблема.
Решение
Корпорация Майкрософт будет решать эту проблему в будущих выпусках.
Обходной путь
Используйте shutdown.exe, чтобы инициировать отключение, запустите ниже команды (например) из повышенной командной строки:
shutdown.exe /r /d P:4:2
Это приведет к журналу событий и записи SEL с кодом причины 0x80040002.
Коды причины отключения можно найти здесь: https://msdn.microsoft.com/library/aa376885(VS.85).aspx
Дополнительная информация
Sel (System Event Log) — это база данных событий в оборудовании контроллера управления базовым компьютером (BMC).
Адаптер SEL передает эти события в операционную систему.
Сервер Windows сам выключается – событие user32 event 1074
Привет. Недавно столкнулся с очень неприятной ситуацией — часть серверов начала самопроизвольно выключаться. Какой — либо закономерности в выключениях проследить не удавалось. Единственное что объединяло серверы — это то что на них была установлена ОС Windows Server 2012 или выше, и большая их часть имеет роль терминальных. Ах да, еще все эти серверы — виртуальные и работают под управлением Hyper V. Хочу сегодня рассказать, в чем была проблема.
Конечно, любая диагностика должна начинаться с анализа логов. И вот какое событие удалось обнаружить непосредственно перед выключениями серверов – событие 1074, user32:
The process C:\Windows\system32\winlogon.exe (DC) has initiated the power off of computer DC on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
По ним становится понятно, что работа завершается штатно. Что в общем то позволяет исключить влияние железа, хотя оно и так было исключено, т. к. все серверы виртуальные. Под подозрение попал гипервизор, но рысканье вдоль и поперек по логам ни какого результата не дало. События относящиеся к завершениям работы не имели отношения к инициализации завершения работы. Говорят, что виртуальные машины могут в редких случаях произвольно выключаться, если есть проблемы со свободной памятью, но в моем случае памяти было более чем достаточно.
В общем думаю хватит томить, и пора рассказать вам, в чем же в итоге было дело. Подключившись по RDP, я сидел и размышлял, что же может быть причиной подобного завершения работы. И вот из-за бездействия меня выбило на экран ввода пароля, где я обнаружил вот такой экран:
Обратите внимание на нижний угол:
Да, это мать его, завершение работы системы. Оказывается с 2012 винды MS сделали эту кнопку доступной при подключении по RDP.
Computer Configuration – Policies – Windows Settings – Local Policies – Security Options – Shutdown: Allow system to be shut down without having to log on.
Отключаем его и всё, возможности выключить сервер у пользователей не будет.
В общем и целом, после изменения этого параметра мистические выключения прекратились.
Win 7 перезагружается
переиодически
выскакивает окно что компьютер будет перезагружен через 1 минуту, в журнале такая запись
has initiated the restart of for the following reason: No title for this reason could be found.
Minor Reason:
Shutdown Type:
English: This information is only available to subscribers. An example of English, please!
Comments:
EventID.Net
As a general statement, this event records a system shutdown or restart in order for the administrators of that system to have a better understanding on how often and for what reasons the computer is shutdown or restarted. The event contains details about the process (the program) that performed this task, the computer that was affected and when applicable, the reason for the restart or shutdown. Also, the type of operation is recorded: restart when a user or an application initiates a system restart, shutdown when the system is sent a shutdown request or power off when the power button is pressed (and that initiates a shutdown).
The process listed in the event provides an important clue as to who or what initiated the shutdown or the restart. Processes related the user’s environment such as Exlorer.exe or Winlogon indicate that the shutdown was initiated by a user while other type of processes such as svchost.exe.
The comment shown in the event description is something that can be specified by the process that initiates the shutdown. For example, if an application is installed and the installer script requires a restart one may see a comment like «The Windows Installer initiated a system restart to complete or continue the configuration of «. Users of shutdown.exe command can also specify a text to be recorded as comment.
Click if the comment is good! x 11
Anonymous
I am using Microsoft SUS (Software Update Services) to push Windows updates and this message is generated when a machine is automatically rebooted, once an update that requires a reboot is installed.
Click if the comment is good! x 1
Why bother deciphering Event logs when GFI EventsManager can do everything for you? Free trial here!
Anne Jan Elsinga
This also happens when you manually kill the process «Remote Procedure Calls» also know as svchost.
Click if the comment is good! x 2
Brendan Stephens
This error may be contributed to security issue identified, or virus known as W32.Blaster.Worm. The Virus brodcasts from the local machine, and may cause a buffer overrun in RPC, allowing code execution, or RCP may terminate unexpectedly.
See the link to the Symantec Virus information and removal tool, MS03-026 and RPC DCOM WORM (MSBLASTER).
Click if the comment is good! x 6
Источник user32 код события 1074 windows 7
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Доброго времени суток! Установлена ос 2008r2 с последними обновлениями. На сервере установлена 1С, пользователи подключаются по RDP. Происходят периодические выключения питания с записью в журнале Событие 1074 USER 32 ( Процесс wininit.exe (127.0.0.1) инициировал действие «Выключение питания» для компьютера SERVERNEW от имени пользователя NT AUTHORITY\система по причине: Завершение работы, вызванное устаревшей API-функцией Код причины: 0x80070000 Тип выключения: Выключение питания ).
Железо новое, 2 месяца в эксплуатации, HP ml150g9, настройки питания в биосе на максимальную производительность, chkdsk, sfc /scannow результатов не дали, вирусов не обнаружено. По наблюдениям выявлено, что отключения происходит при работе пользователей, т.е. вечером и в выходные сервер работает. В локальной групповой политике в «Завершении работы системы» удалены все пользователи в т.ч. админ. Пользователи с обычными правами.
Помогите найти решение проблемы! Буду очень признателен.