herhangi bir sebepten dolayı kapanmış sunucu genel ya da özel olarak event ID kaydı oluşturur. Bu EventID kaydını powershell ile almak için; Çıktı Belirtilen dizin altına txt olarak çıktısı verilecektir.
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txtÖrnek Text Çıktısı:
MachineName TimeWritten UserName EventID Message
----------- ----------- -------- ------- -------
kurts 22.10.2020 17:23:25 NT AUTHORITY\SYSTEM 1074 C:\WINDOWS\CCM\CcmExec.exe (kurts) işlemi NT AUTHOR
ITY\SYSTEM kullanıcısı adına şu nedenle kurts bilgi
sayarının yeniden başlat öğesini başlattı: Bu neden
için bir başlık bulunamadı
Neden Kodu: 0x80020001
Kapatma Türü: yeniden başlat
Yorum: Your computer will restart at 22.10.2020 17:
38:25 to complete the installation of applications a
nd software updates.
kurts 16.10.2020 13:10:05 kurts\akurt 1074 C:\Windows\System32\RuntimeBroker.exe (kurts) işlem
i ahmet kullanıcısı adına şu nedenle kurts bil
gisayarının yeniden başlat öğesini başlattı: Diğer (
Planlanmamış)
Neden Kodu: 0x0
Kapatma Türü: yeniden başlat
Yorum:
kurts 5.10.2020 09:10:55 NT AUTHORITY\SYSTEM 1074 C:\WINDOWS\CCM\CcmExec.exe (kurts) işlemi NT AUTHOR
ITY\SYSTEM kullanıcısı adına şu nedenle kurts bilgi
sayarının yeniden başlat öğesini başlattı: Bu neden
için bir başlık bulunamadı
Neden Kodu: 0x80020001
Kapatma Türü: yeniden başlat
Yorum: Your computer will restart at 5.10.2020 09:1
0:55 to complete the installation of applications an
d software updates.