Códigos de evento do Windows para bloqueio / desbloqueio de inicialização / desligamento

2

Estou tentando criar uma lista de IDs de eventos que podem ser usados para determinar quando a máquina foi desligada, iniciada, bloqueada e desbloqueada. Até agora, encontrei seis IDs de evento que parecem ser os melhores candidatos, mas fiquei me perguntando se havia uma maneira melhor de determiná-lo.

Abaixo está uma lista de IDs de evento que eu encontrei para ser útil (1, 1074, 6005, 6006, 4800, 4801) do 'Power-Troubleshooter', 'User32', 'EventLog' e 'Microsoft Windows security fontes de auditoria. Eles são do Windows 10 (v1511) e, atualmente, o Windows 10 é o meu único requisito de destino, pois é o que todas as máquinas clientes executam.

Aquiestáumaconsultadefiltrodeexemploqueeucrieie

<QueryList><QueryId="0" Path="System">
    <!-- Shutdown -->
    <Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Event Service Stop/Start -->
    <Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Startup -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Machine Lock/Unlock -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>
  </Query>
</QueryList>

Eu deliberadamente dividi as fontes na consulta e elas podem ser unidas, mas isso sacrifica a legibilidade da IMO.

Minha pergunta é se existe um grupo melhor de IDs de evento ou uma consulta melhor que eu possa usar? Existem IDs de evento que estou perdendo ou que estou dobrando?

    
por Dan Atkinson 28.11.2017 / 22:29

1 resposta

3

Referindo-se à sua solicitação sobre o início e o encerramento de IDs de eventos, fiz a lista abaixo com base em uma máquina com o Windows 10. O ponto principal é que, dependendo da ação de desligamento (reinicialização planejada, desligamento planejado, desligamento inesperado ou falha no processo LSASS), os eventos gerados serão diferentes:

  • 1074 The process Explorer.EXE has initiated the shutdown of computer on behalf of user for the following reason: Other (Unplanned)
  • 6006 The Event log service was stopped.
  • 109 The kernel power manager has initiated a shutdown transition.
  • 13 The operating system is shutting down at system time ‎
  • 20 The last shutdown's success status was true. The last boot's success status was true.
  • 12 The operating system started at system time
  • 6005 The Event log service was started.
  • 6013 The system uptime is 10 seconds.

Para fazer uma clara visão geral das diferentes ações de desligamento, fiz a seguinte tabela. Espero que ajude.

    
por 29.11.2017 / 12:10