web-dev-qa-db-fra.com

Les codes d'événement Windows pour le démarrage / le verrouillage d'arrêt / déverrouillage

J'essaie d'établir une liste des identifiants d'événement pouvant être utilisés pour déterminer lorsque la machine a été arrêtée, démarré, verrouillé et déverrouillé. Jusqu'à présent, j'ai trouvé 6 identifiants d'événement qui semblent être les meilleurs candidats, mais je me demandais s'il y avait une meilleure façon de le déterminer.

Vous trouverez ci-dessous une liste des identifiants d'événement que j'ai trouvés utiles (1, 1074, 6005, 6006, 4800, 4801) du "Power-Dépanners", "User32", "EventLog" et "Audit de sécurité Microsoft Windows". . Celles-ci proviennent de Windows 10 (V1511) et actuellement Windows 10 est ma seule exigence cible car c'est ce que toutes les machines clientes sont exécutées.

List of event Ids

Voici un exemple de requête de filtre que j'ai construit qui

<QueryList>
  <Query Id="0" Path="System">
    <!-- Shutdown -->
    <Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Event Service Stop/Start -->
    <Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Startup -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Machine Lock/Unlock -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>
  </Query>
</QueryList>

J'ai délibérément divisé les sources dans la requête et elles peuvent être jointes ensemble, mais cela sacrifie la lisibilité imo.

Ma question est de savoir s'il existe un meilleur groupe d'identifiants d'événement ou une meilleure requête que je puisse utiliser? Y a-t-il des identifiants d'événement qui me manquent ou que je double?

2
Dan Atkinson

Référez-vous de votre demande concernant les ID d'événement de démarrage et d'arrêt, j'ai effectué la liste ci-dessous en fonction d'une machine Windows 10. Le point principal est que, en fonction de l'action d'arrêt (redémarrage prévu, arrêt planifié, arrêt inattendu ou crash de processus LSASS), les événements générés seront différents:

  • 1074 Le processus explorateur.exe a lancé l'arrêt de l'ordinateur pour le compte de l'utilisateur pour la raison suivante: Autre (non planifié)
  • 6006 Le service de journal des événements a été arrêté.
  • 109 Le Kernel Power Manager a lancé une transition d'arrêt.
  • 13 Le système d'exploitation s'éteint à l'heure du système
  • 20 Le dernier statut de réussite de l'arrêt était vrai. Le statut de réussite du dernier démarrage était vrai.
  • 12 Le système d'exploitation a commencé à l'heure du système
  • 6005 Le service de journal des événements a été démarré.
  • 6013 Le temps de disponibilité du système est de 10 secondes.

Pour faire un aperçu clair sur ces différentes actions d'arrêt, j'ai effectué le tableau suivant. J'espère que cela aidera.

shutdown events

3