Как узнать кто остановил службу windows

Чтобы найти запись журнала событий, показывающую, когда ваша служба была запущена в последний раз:

1. Откройте средство просмотра событий из панели управления (найдите его по имени).
2. В левом столбце перейдите в Журналы Windows> Система:
3. Нажмите «Найти…» справа, чтобы открыть окно «Найти».

9 янв. 2017 г.

Что вызывает остановку службы Windows?

Служба может остановиться, если возникнет необработанное исключение. Убедитесь, что вы обрабатываете все исключения. Кроме того, если служба использует какие-либо COM-объекты, у меня в прошлом были исключения, которые не могли быть перехвачены в моем. NET 2.0.

Как вы следите за сервисом?

Вы можете использовать ManageEngine Free Windows Service Monitor. Используя это, вы можете запускать / останавливать службы в удаленной системе. +1, чтобы убедиться, что службы отслеживаются на локальном компьютере.
…
7 ответов

1. «Перезапустить службу»
2. «Запустить программу»
3. «Перезагрузите компьютер»

17 нояб. 2008 г.

Как узнать время последнего сброса IISReset?

1. Откройте средство просмотра событий, перейдите в «Журналы Windows» -> «Система».
2. на правой панели «Действия» выберите «фильтровать текущий журнал …»
3. В разделе «Источники событий:» выберите или введите «IIS-IISReset».
4. нажмите ОК.

8 авг. 2019 г.

Как перезапустить службу в PowerShell?

Чтобы запустить или остановить службу через PowerShell, вы можете использовать командлет Start-Service или Stop Service, за которым следует имя службы, которую вы хотите запустить или остановить. Например, вы можете ввести Stop-Service DHCP или Start-Service DHCP.

Какие есть инструменты мониторинга?

Инструменты мониторинга используются для постоянного отслеживания состояния используемой системы, чтобы как можно раньше предупреждать о сбоях, дефектах или проблемах и улучшать их. Существуют инструменты мониторинга серверов, сетей, баз данных, безопасности, производительности, использования веб-сайтов и Интернета, а также приложений.

Какие есть хорошие методы мониторинга?

В МиО существует несколько типов мониторинга, включая мониторинг процессов, технический мониторинг, мониторинг допущений, финансовый мониторинг и мониторинг воздействия.

• Мониторинг процесса / мониторинг физического прогресса. …
• Технический мониторинг. …
• Предположительный мониторинг. …
• Финансовый мониторинг. …
• Мониторинг воздействия. …
• Рекомендации.

2 июл. 2013 г.

Как проверить, запущена ли служба в Windows Powershell?

Чтобы найти имя службы и отображаемое имя каждой службы в вашей системе, введите Get-Service. Имена служб отображаются в столбце «Имя», а отображаемые имена — в столбце «Отображаемое имя». При сортировке в возрастающем порядке по значению свойства Status остановленные службы отображаются перед запущенными службами.

Как я могу проверить историю перезагрузок?

Чтобы выяснить, когда ваш компьютер был в последний раз перезагружен, вы можете просто открыть средство просмотра событий, зайти в Журналы Windows -> Системный журнал, а затем отфильтровать по идентификатору события 6006, который указывает на то, что служба журнала событий была отключена — один из последнее, что происходит перед перезагрузкой.

Как мне узнать, почему мой сервер выключен?

Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить», введите eventvwr. msc и нажмите Enter. На левой панели средства просмотра событий дважды щелкните / коснитесь «Журналы Windows», чтобы развернуть его, щелкните «Система», чтобы выбрать ее, затем щелкните правой кнопкой мыши «Система» и щелкните / коснитесь «Фильтровать текущий журнал».

Кто перезапустил Windows Server?

Войдите в Windows Server. Запустите средство просмотра событий (введите при запуске eventvwr). В консоли просмотра событий разверните Журналы Windows.

Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.

Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.

1. Откройте консоль Event Viewer (
   eventvwr.msc
   ) и перейдите в раздел Windows Logs -> System;
2. Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log;
3. В поле фильтра укажите EventID 1074 и нажмите OK;
4. В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;
5. В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a.novak.

The process C:\Windows\Explorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPRO\a.novak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:

Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITY\SYSTEM.

Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы
wuauserv
, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.

The process C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:

Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:

The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown

В этом случае выключение Windows также инициировано NT AUTHORITY\SYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.

Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:

Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message

Команда вернула описания всех событий перезагрузки и выключения Windows.

Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode


if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:

Invoke-Command -ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}

По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.

The previous system shutdown at 4:34:49 AM on ‎1/‎17/‎2022 was unexpected.

И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).