shutdown

[CassiX]

ein gemeiner kollege hat gestern meinen pc über den befehl shutdown -i und mittels meiner IP heruntergefahren... weil sich aber fürt den datenverlust keiner verantwortlich fühlt wollte ich gerne selber in erfahrung bringen wie ich herausfinden kann von welchem pc aus der befehl ausging.

im rahmen unserer ausbildung experimentieren wir schon lange mit solchen netzwerktechniken und befehlen herum und da wäre es auch nur alzu interesant auch dies in erfahrung bringen zu können.

vielen dank. bob

[Guenny0815]

Hast du schonmal die Erreignisanzeige des betroffenenen Computers zur besagten Uhrzeit durchforstet?

[CassiX]

wenn mir jemand erklärt wie das funktioniert... wir arbeiten im übrigen mit win xp, sollte nicht ganz unwichtig sein. jedenfalls wäre ich über eine möglichkeit den übeltäter pc herauszufinden sehr erfreut. meine kollegen und ich konnten leider keinen weg finden um den namen oder die ip zu ermitteln.

jediglich die uhr zeit wissen wir

[Guenny0815]

Du musst doch wissen welcher PC heruntergefahren wurde wenn es zu Datenverlust etc gekommen ist. Oder versteh ich das Grad falsch?

LG

[Thanks-and-Goodbye]

Der Zielpc (also der, der heruntergefahren ist) ist ja auch klar.

Es geht um den Quellpc (von dem der Befehl ausging).

Ereignisanzeige:

Start - ausführen - eventvwr

[CassiX]

ja das ziel is klar, icke war das versuchskaninchen... ich mag ja nur wissen wie ich jetzt im ernstfall den verursacher ausfindig mache...

schöner ansatz chief. leider find ich da nix gescheites. wie muss das protokoll denn aussehen bzw wo genau stehen?

[Eye-Q]

Beim Herunterfahren gibt es mindestens einen Eintrag mit der Ereignis-ID 6006 ("Der Ereignisprotokolldienst wurde beendet."). Wenn Windows etwas protokolliert hat, von welchem Rechner aus das Kommando kam, muss das unmittelbar vor (also in der Anzeige unter) diesem Eintrag sein. Wenn Windows das nicht protokolliert hat, dann kann man das eben nicht heraus finden.

[CassiX]

ja das ist dem ähnlich was ich schon dursucht habe. in dem protokoll mit der id 6006 stehen keine relevanten informationen und in dem davor folgendes:

Der Prozess winlogon.exe hat den Neustart von xxxx (name meines pcs) aus folgenden Gründen initialisiert: Es wurde kein Titel für den Grund gefunden.

Nebensächlicher Grund: 0x14

Herunterfahrungstyp: Neustart

Kommentar:

quelle: user32

ereigniskennung: 1074

der rest wie zeit, datum, typ oder kategorie sei jetzt mal nebensächlich... als qulle hatte ich mir ja den vermeindlichen übeltäter vorgestellt aber das is ja nicht...

wenn es denn nun wirklich keine möglichkeit gibt, was schade wäre, dann beenden wir das hier. allerdings funktioniert es bei vista auf grund verschiedener neuer protokolle ganz gut dies heraus zu finden