web-dev-qa-db-ja.com

起動/シャットダウンのロック/ロック解除のWindowsイベントコード

マシンがシャットダウン、起動、ロック、ロック解除された時期を判別するために使用できるイベントIDのリストを作成しようとしています。これまでのところ、最良の候補と思われる6つのイベントIDを見つけましたが、それを特定するためのより良い方法があるかどうか疑問に思っていました。

以下は、「Power-Troubleshooter」、「User32」、「EventLog」、および「Microsoft Windowsセキュリティ監査」のソースから役立つとわかったイベントID(1、1074、6005、6006、4800、4801)のリストです。 。これらはWindows 10(v1511)からのものであり、現在すべてのクライアントマシンで実行されているWindows 10が唯一のターゲット要件です。

List of event Ids

これが私が作成したフィルタークエリの例です

<QueryList>
  <Query Id="0" Path="System">
    <!-- Shutdown -->
    <Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Event Service Stop/Start -->
    <Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Startup -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Machine Lock/Unlock -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>
  </Query>
</QueryList>

クエリでソースを意図的に分割し、それらを結合することができますが、これにより読みやすさのIMOが犠牲になります。

私の質問は、使用できるイベントIDのより良いグループまたはより良いクエリがあるかどうかです。欠落しているイベントIDまたは重複しているイベントIDはありますか?

2
Dan Atkinson

起動とシャットダウンのイベントIDに関するリクエストを参考にして、Windows 10マシンに基づいて以下のリストを作成しました。重要な点は、シャットダウンアクション(計画的な再起動、計画的なシャットダウン、予期しないシャットダウン、LSASSプロセスのクラッシュ)によって、生成されるイベントが異なるということです。

  • 1074プロセスExplorer.EXEは、次の理由でユーザーに代わってコンピューターのシャットダウンを開始しました:その他(計画外)
  • 6006イベントログサービスが停止しました。
  • 109カーネルパワーマネージャーがシャットダウン遷移を開始しました。
  • 13オペレーティングシステムがシステム時間にシャットダウンしています
  • 20前回のシャットダウンの成功ステータスはtrueでした。前回のブートの成功ステータスはtrueでした。
  • 12オペレーティングシステムはシステム時に起動しました
  • 6005イベントログサービスが開始されました。
  • 6013システムの稼働時間は10秒です。

これらの異なるシャットダウンアクションの概要の概要を明確にするために、次の表を作成しました。お役に立てば幸いです。

shutdown events