查找谁重新启动了 Windows Server Core - 奖励指南

在这篇文章中，我将展示如何查找重新启动 Windows Server Core 的用户。对于 Server Core，找出谁重新启动它会有点棘手。但我会让你变得容易。

一些组织更喜欢使用 Windows Server Core 操作系统，因为它消除了对于支持某些常用服务器角色来说并不重要的服务和功能。 Windows Server 核心具有许多优势。此外，具有桌面体验的服务器和服务器核心之间存在许多差异。

来到要查找重新启动 Windows Server 核心的用户的部分，您必须找到一种从事件查看器读取日志的方法。 Windows 服务器核心像普通服务器一样记录所有事件，但您无法在服务器核心上启动事件查看器。

有一种称为关闭事件跟踪器的东西。它允许管理员跟踪用户启动关闭或重新启动的原因。然而，对于 Windows Server core，当您重新启动服务器时，您不会获得关闭事件跟踪器。

从 SCONFIG 选项列表中，13 选项允许 Windows Server 核心重新启动。单击是将重新启动服务器，而不显示任何关闭事件跟踪器。

那么如何从 Windows Server 核心读取事件查看器日志呢？答案是使用 PowerShell。在我的一篇文章中，我介绍了如何查找谁重新启动了 Windows Server。在那篇文章中，我使用事件 ID 1074 来查找重新启动 Windows 服务器的用户。我们将使用相同的事件 ID 1074 来查找谁重新启动了 Windows 服务器核心。

在服务器核心上，默认情况下您会看到命令提示符。键入命令 PowerShell，您现在可以输入 PowerShell 命令。

我们将首先使用一个简单的命令来获取事件查看器中的日志列表。

Get-EventLog -list

查找谁重新启动了 Windows Server Core

要查找谁重新启动了 Windows Server 核心，我们将筛选事件 ID 1074 的系统日志或筛选源为 User32 的日志。两者都应该产生相同的输出，您可以选择其中一个。

运行以下命令以过滤源为 User32 的系统日志。

Get-EventLog -LogName System | Where Source -eq User32

您还可以使用以下命令过滤事件 ID 1074 的系统日志。

Get-EventLog -LogName System | Where EventID -eq 1074

虽然我们现在看到有 4 个日志使用事件 ID 1074 或源为 User32 进行过滤，但由于消息文本被截断，因此无法读取它们。格式列表消息在这里可以提供帮助。

如果你想找到重新启动Windows Server核心的用户，这里是最后的命令。

Get-EventLog -LogName System | Where EventID -eq 1074 | Format-List Message

连接到 Windows Server Core 上的事件查看器

如何启动事件查看器并将其连接到远程计算机（即 Windows Server 核心）？是的，这也可以，然后您可以过滤事件 ID 1074 的事件日志并找到重新启动服务器核心的用户。

您需要记住的一件事是，默认情况下，服务器核心上的防火墙处于开启状态。因此它不允许您连接到事件查看器。所以你必须先处理好这一点。

要连接到 Windows Server Core 上的事件查看器，请在成员服务器上启动事件查看器。右键单击事件查看器（本地），然后选择连接到另一台计算机。

在“选择计算机”框中，输入服务器核心计算机名称，然后单击确定。

现在您已成功连接到服务器核心上的事件查看器。选择系统日志并使用事件 ID 1074 筛选当前日志。现在您可以找到重新启动 Windows Server 核心的用户。