Wann wurde der Server unerwartet heruntergefahren?
Zur Überprüfung, warum ein Server neu gestartet oder heruntergefahren wurde, lässt sich die Powershell zur Auswertung der Events sehr gut einsetzen.
War es ein geplanter Reboot, Shutdown oder doch ein ungewollter dirty Shutdown?
Die Windows-Logs geben Aufschluss über den Grund!
Restart oder doch Shutdown
Mit folgendem Befehl lässt sich der Grund und der Zustand ermitteln.
Get-EventLog -LogName System -ComputerName SubCA -After “05/01/2022” |
Where-Object {$_.EventID -in (1074,1076,6006,6008)} | Format-Table TimeGenerated, EventID, Message -Wrap
Was haben die Events zu bedeuten?
Event 6008 – sagt aus, das der Server unerwartet heruntergefahren wurde
Event 6006 – sagt aus, das der Server ordnungsgemäß heruntergefahren wurde
Event 1076 – sagt aus, was der Grund für den Reboot oder Shutdown war
Event 1074 – sagt aus, von welcher Anwendung oder Benutzer der Reboot initiiert wurde
Event 41 – sagt aus, das der Server neu gestartet wurde, ohne das er sauber heruntergefahren ist