1. Visor de eventos:
- Abra el Visor de eventos presionando la tecla de Windows + R , escriba "eventvwr.msc" y presione Entrar .
- Expanda "Registros de Windows" en el panel izquierdo y seleccione "Sistema".
- Busque eventos con ID de evento 1074 para el apagado del sistema y 1076 para reiniciar el sistema.
- Haga doble clic en el evento para ver detalles como el usuario que inició la acción y la hora en que ocurrió.
2. Política de auditoría:
- Abra el Editor de políticas de grupo local presionando la tecla de Windows + R , escriba "gpedit.msc" y presione Entrar .
- Vaya a Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría .
- Haga doble clic en "Seguimiento del proceso de auditoría" y asegúrese de que esté configurado en "Éxito".
- Después de reiniciar o apagar, regrese a esta configuración y verifique los registros de eventos para ver los ID de evento 4634 (cierre de sesión iniciado) y 4647 (apagado o reinicio exitoso).
3. Símbolo del sistema:
- Abra el símbolo del sistema como administrador.
- Ejecute el siguiente comando:
```
cuentas netas
```
- Esto mostrará una lista de cuentas de usuario y proporcionará información sobre las últimas horas de inicio y cierre de sesión.
4. Registro de seguridad:
- Abra el Visor de eventos (como se menciona en el método 1).
- Expanda "Registros de Windows" y seleccione "Seguridad".
- Busque eventos relacionados con inicios y cierres de sesión de usuarios. ID de evento 4624 , 4634 , 4647 y 4672 son particularmente relevantes para el seguimiento de reinicios y apagados del sistema.
Al combinar estos métodos, puede monitorear e identificar de manera efectiva quién reinició o apagó su servidor Windows, junto con la hora correspondiente y los detalles de la acción.