Der er flere måder at kontrollere, hvem der genstartede eller lukkede en Windows-server. Her er et par metoder:

1. Event Viewer:

- Åbn Event Viewer ved at trykke på Windows-tast + R , skriv "eventvwr.msc", og tryk på Enter .

- Udvid "Windows Logs" i venstre rude, og vælg "System".

- Se efter begivenheder med begivenheds-id'er 1074 til systemnedlukning og 1076 for systemgenstart.

- Dobbeltklik på hændelsen for at se detaljer såsom den bruger, der påbegyndte handlingen, og tidspunktet, hvor den fandt sted.

2. Revisionspolitik:

- Åbn Local Group Policy Editor ved at trykke på Windows-tast + R , skriv "gpedit.msc", og tryk på Enter .

- Naviger til Computerkonfiguration> Windows-indstillinger> Sikkerhedsindstillinger> Lokale politikker> Revisionspolitik .

- Dobbeltklik på "Revisionsprocessporing" og sørg for, at den er indstillet til "Succes".

- Efter en genstart eller nedlukning skal du vende tilbage til denne indstilling og kontrollere hændelseslogfilerne for hændelses-id'er 4634 (logoff påbegyndt) og 4647 (vellykket nedlukning eller genstart).

3. Kommandoprompt:

- Åbn kommandoprompt som administrator.

- Kør følgende kommando:

```

netto konti

```

- Dette vil vise en liste over brugerkonti og give oplysninger om de seneste login- og logoff-tider.

4. Sikkerhedslog:

- Åbn Event Viewer (som nævnt i metode 1).

- Udvid "Windows Logs" og vælg "Sikkerhed".

- Se efter begivenheder relateret til brugerlogon og logoffs. Hændelses-id'er 4624 , 4634 , 4647 og 4672 er særligt relevante for sporing af systemgenstarter og -nedlukninger.

Ved at kombinere disse metoder kan du effektivt overvåge og identificere, hvem der genstartede eller lukkede din Windows-server sammen med det tilsvarende tidspunkt og detaljerne for handlingen.