Het achterhalen wie of wat een server of werkstation opnieuw heeft opgestart, kan een ware nachtmerrie zijn als je niet weet waar je moet zoeken. Soms is het voor systeembeheerders, of gewoon voor mensen die onverklaarbare storingen oplossen, belangrijk om te zien wat er zich achter de schermen afspeelt. Windows registreert al deze gebeurtenissen – zoals afsluiten, herstarten en zelfs crashes – in de Logboeken. Weten hoe je door deze logboeken moet navigeren, kan enorm veel tijd besparen en je helpen te achterhalen of het een gebruiker, een geplande taak of een service was die de herstart heeft veroorzaakt. Bovendien kun je met PowerShell het hele proces automatiseren en de informatie sneller verkrijgen dan wanneer je handmatig door logboeken moet spitten. Misschien heb je een herstart gezien die is geïnitieerd door “NT AUTHORITY\SYSTEM” en je afgevraagd wat daar nu precies achter zit? Zo kom je daarachter.
Hoe achterhaal je wie een Windows-computer opnieuw heeft opgestart of afgesloten?
Gebruik Logboeken om te achterhalen wie de herstart heeft veroorzaakt.
- Open de Logboeken rechtstreeks door eventvwr.msc in te typen in het dialoogvenster Uitvoeren ( Win + R) of via de zoekfunctie in het Startmenu; dit is de snelste manier om te beginnen.
- Ga vervolgens naar Windows-logboeken en selecteer Systeem.
- Klik met de rechtermuisknop op Systeem en kies Huidig logboek filteren. Hier gebeurt het allemaal.
- Voer in het filtervenster 1074 in bij het veld EventID. Deze ID dekt de meeste door de gebruiker geïnitieerde afsluitingen of herstarts. Klik op OK en voilà, u hoeft minder logbestanden door te scrollen.
- Bekijk de meest recente gebeurtenis; deze toont meestal het proces of de gebruiker die de herstart heeft veroorzaakt. Als u Gebruiker32 als bron ziet, duidt dit er doorgaans op dat iemand op ‘Herstarten’ of ‘Afsluiten’ heeft geklikt in de interface van het besturingssysteem.
Opmerking: In sommige gevallen ziet u mogelijk NT AUTHORITY\SYSTEM. Dit is meestal een Windows-service of -update die een herstart initieert, en niet een handmatige herstart door de gebruiker.
Bekijk PowerShell voor meer informatie over het evenement.
Deze methode is ideaal als je snel een rapport wilt of als je processen automatiseert. De ingebouwde cmdlet Get-WinEvent is krachtiger en flexibeler dan de oudere Get-EventLog.
- Voer deze opdracht uit om alle herstart-/afsluitgebeurtenissen met gebeurtenis-ID 1074 op te halen :
Get-WinEvent -FilterHashtable @{logname='System'; id=1074} | ft TimeCreated, Id, Message
Verwacht een lijst met herstartgebeurtenissen, inclusief tijdstempels, gebruikers- of procesnamen en redenen. Netjes en overzichtelijk.
Een ander handig script haalt de laatste tien herstart-/afsluitgebeurtenissen op en laat zien welke gebruiker of welk proces erbij betrokken was — vooral handig als je historische context wilt:
Get-EventLog -LogName System | where {$_. EventId -eq 1074} | select-object -first 10 | ForEach-Object { $rv = New-Object PSObject $rv | Add-Member -MemberType NoteProperty -Name Date -Value $_. TimeGenerated $rv | Add-Member -MemberType NoteProperty -Name User -Value $_. ReplacementStrings[6] $rv | Add-Member -MemberType NoteProperty -Name Process -Value $_. ReplacementStrings[0] $rv | Add-Member -MemberType NoteProperty -Name Action -Value $_. ReplacementStrings[4] $rv | Add-Member -MemberType NoteProperty -Name Reason -Value $_. ReplacementStrings[2] $rv } | Select-Object Date, User, Process, Action, Reason | ftPowerShell maakt het natuurlijk veel gemakkelijker om precies te vinden wat je nodig hebt.
Controleer het gebeurtenislogboek van een externe server op oorzaken van herstarten.
Als je niet fysiek naar de server wilt gaan of er via RDP verbinding mee wilt maken, kun je PowerShell op afstand gebruiken. Gebruik deze opdracht om de laatste herstartgebeurtenis van een externe machine op te halen:
Invoke-Command -ComputerName mun-dc03 -ScriptBlock { Get-WinEvent -FilterHashtable @{logname='System'; id=1074} | select-object -Last 1 }Dit is enorm handig als je een groot aantal servers beheert en snel informatie nodig hebt. Vergeet niet dat je de juiste machtigingen of beleidsregels moet hebben ingesteld om externe PowerShell-opdrachten probleemloos te laten werken.
Wat als de herstart onverwacht was?
Als je gebeurtenis-ID 6008 in de logboeken ziet, duidt dat op een ongeplande systeemafsluiting, zoals een stroomstoring of een systeemcrash. Het analyseren van die logboeken kan wat complexer zijn, maar ze zijn cruciaal om de oorzaak van de onverwachte uitval te achterhalen.
The previous system shutdown at 3:24:29 AM on 9/17/2022 was unexpected.
Kortom, of je nu Logboeken of PowerShell gebruikt om de oorzaak van een herstart te achterhalen, is niet zo ingewikkeld als je eenmaal weet waar je moet zoeken. Het is handig om vertrouwd te raken met de gebeurtenis-ID’s en hun betekenis, vooral voor het oplossen van problemen of voor controledoeleinden. Houd er ook rekening mee dat sommige herstarts gewoon Windows-updates of gepland onderhoud zijn. Het is dus essentieel om te controleren of gebruikers of servers deze hebben geïnitieerd om het grotere geheel te begrijpen.