Houve um desligamento ou reinicialização inesperada no seu servidor? Como descobrir o que ocorreu? Pois bem, tais informações ficam armazenadas no Visualizador de Eventos do Windows. Agora vou mostrar como ver os logs de desligamento de um servidor de uma forma simples e prática

Servidores foram feitos para trabalharem 24×7 e é extremamente importante ter auditorias configuradas nos mesmos. Dessa forma, caso haja uma interrupção por um desligamento forçado ou uma reinicialização inesperada, conseguiremos coletar evidências para entender o ocorrido.

Primeiramente vamos entender cada ID de evento que pode ajudar a identificar o motivo do desligamento ou reinicialização do Sistema Operacional:

  • Evento ID 6005: “O serviço de log de eventos foi iniciado.” Isso é sinônimo de inicialização do sistema. 
  • Evento ID 6006: “O serviço de log de eventos foi interrompido.” Isso é sinônimo de desligamento do sistema. 
  • Evento ID 6008: “O encerramento sistema anterior foi inesperado.” Registros que o sistema iniciou depois que ele não foi desligado corretamente. 
  • Evento ID 6009: Indica o nome de produto do Windows, versão, número de compilação, número do service pack e tipo de sistema operacional detectado durante o tempo de inicialização. 
  • Evento ID 6013: Exibe o tempo de atividade do computador. 
  • Evento ID 1074: “O processo X iniciou a reinicialização / desligamento do computador em nome do usuário Y pelo seguinte motivo: Z.” Indica que um aplicativo ou um usuário iniciou um reinício ou desligamento. 
  • Evento ID 1076: “O motivo fornecido pelo usuário X para o último encerramento inesperado deste computador é: Y.” Regista quando o primeiro utilizador com privilégios de encerramento inicia sessão no computador após um reinício ou encerramento inesperado e fornece uma razão para a ocorrência. 

Agora que entendemos cada evento podemos acessar o Visualizador de Eventos e filtrar cada log acessando este caminho: Ferramentas Administrativas> Visualizador de Eventos> Logs do Windows> Sistema> Filtrar Log Atual… e digite cada ID no campo abaixo:

logs de desligamento de um servidor

Outra forma mais fácil e rápida para extrairmos essa informação é através do PowerShell, abrindo ele e digitando o comando abaixo teremos todas as informações em um documento de texto “LogShutdown.txt” na pasta raiz (C:). Segue abaixo o comando:

Get-EventLog System | Where-Object {$_.EventID -eq “1074” -or $_.EventID -eq “6008” -or $_.EventID -eq “1076” -or $_.EventID -eq “6005” -or $_.EventID -eq “6006” -or $_.EventID -eq “6009”} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap > c:\LogShutdown.txt

Para entendermos melhor o comando, vamos explicar:

Get-EventLog System pelo PowerShell é um comando relativamente simples e segue com iníco Get-EventLog System | Where-Object {$_.EventID seguido por cada Event ID (que pode ser concatenado com o parametro -or $_.EventID -eq “número do evento”). No final faremos com que os dados do comando sejam salvos em um arquivo de extensão .txt com o > c:\LogShutdown.txt.

Lembre-se que o sinal faz com que os dados sejam adicionados ao arquivo LogShutdown.txt substituindo o conteúdo por dados mais recentes. Se você quiser manter o histórico de atividades, em vez de um > digite dois >> (exemplo >> c:\LogShutdown.txt). O Resultado é parecido com este abaixo:

como ver os logs de desligamento de um servidor

No exemplo acima, podemos identificar alguns ocorridos:

  • Área em laranja: O usuário Ramal81 se logou no servidor no dia 05/11 às 9:33 e marcou o motivo de desligamento na caixa de diálogo como: Outro (Não planejado). Sem nenhum comentário.
  • Área em verde: Desligamento inesperado do servidor no dia 04/11 às 9:22, neste caso ocorreu uma queda de energia.
  • Área em azul: O servidor foi reiniciado pelo usuário Administrador no dia 04/11 às 3:00 com o comentário de “Atualização do sistema ERP”.

Com isso você viu como ver os logs de desligamento de um servidor.

Para mais dicas, acesse: Dicas e boas práticas – Blog Tecnologia – Ravel