事件 ID 1074 - 系统重新启动或关闭

事件 ID 1074 - 当用户通过 Ctrl + Alt + Delete 启动 Windows 系统重新启动或关闭并单击“关闭”或应用程序导致 Windows 服务器重新启动时，会记录此事件。

事件 ID 1074 记录在系统日志和子类别重新启动或关闭下。

The process C:\Windows\System32\RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Other (Unplanned)

Reason Code: 0x0
Shutdown Type: restart
Comment: 

在本文中，我们将讨论系统关闭和重新启动事件 ID 以及记录事件 ID 1074 的可能原因。

事件 ID 1074 - 系统重新启动

当应用程序导致系统重新启动或用户通过 Ctrl+Alt+Delete 启动系统重新启动或关闭时，事件 ID 1074 会写入系统日志。

如果用户发起系统重启，则会将此事件 id 1074 写入为

The process C:\Windows\System32\RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment: 

在上面的事件日志消息中，它显示用户 ShellGeek\admin 启动了系统重新启动。

进程 RuntimeBroker.exe 触发重新启动事件，并在事件关闭类型下记录信息，因为重新启动且来源为 User32。

酷提示：事件 ID 4670 - 对象的权限已更改！

事件 ID 1074 原因代码

应用程序可以导致系统重新启动并记录此事件 ID 1074 以及原因代码和进程名称。

The process c:\ShellGeek\admin\downloads\ssms-setup-enu.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Application: Installation (Planned)
 Reason Code: 0x80040002
 Shutdown Type: restart
 Comment: 

在上述 Windows 系统事件日志 ID 1074 中，应用程序 ssms-setup-enu.exe（SQL Server 安装程序）已启动计算机重新启动，此事件原因代码为 0x80040002

酷提示：事件 ID 4625 状态代码 0xc000006a - 修复以查找尝试来源！

事件 ID 1074 旧版 API 关闭

旧版 API 关闭消息意味着某些进程使用旧版 Windows API 挂钩以编程方式发出系统关闭请求。

让我们通过一个示例来了解事件 1074 旧版 API 关闭。

The process C:\Program Files (x86)\temp\vulscan.exe (Corp-Eu-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
 Reason Code: 0x80070000
 Shutdown Type: restart
 Comment: Close applications

在上述事件日志消息中，vulscan.exe 进程以编程方式发出关闭请求，原因为旧版 API 关闭，原因代码为 0x80070000

酷提示：如何在 PowerShell 中操作 Active Directory UserAccountControl 标志！

结论

希望以上有关事件 ID 1074 的文章对您有所帮助。

您可以使用事件 ID 1074 监视系统重新启动事件及其可能的原因和原因代码。

应用程序或用户可以在工作站上发起系统关闭或重新启动请求，使用此事件1074您可以监视Windows服务器关闭和重新启动历史记录。

酷提示：事件 ID 4771 - Kerberos 预身份验证失败！

您可以在 ShellGeek 主页上找到有关 PowerShell Active Directory 命令和 PowerShell 基础知识的更多主题。

您可以阅读有关其他 Windows 安全和系统事件日志的更多信息，如下所示：

• 事件 ID 4625 0xc000006a - 帐户无法登录
• 事件 ID 4634 - 帐户已注销
• 错误代码 0xc0000234 - 事件 ID 4776 - 修复
• 事件 ID 4624 - 帐户已成功登录。