Windows Shutdown and Restart Event ID

  Windows işletim sistemlerinde özellikle server tarafında kapatma, yeniden başlatma ve beklenmedik kapatma olaylarını client tarafında ise  beklenmedik kapatma olaylarını mutlaka takip etmelisiniz. Bu tür olaylar, sistem yöneticilerinin ve güvenlik ekiplerinin sistem durumu hakkında bilgi edinmelerine ve olası sorunları tespit etmelerine yardımcı olur.

• Beklenmedik kapatmalar veya yeniden başlatmalar, donanım ve yazılım uyumsuzlukları gibi kritik sorunların göstergesi olabilir. Bu tür sorunlar erkenden tespit edilmezse, sistemde daha büyük problemlere yol açabilir. Örneğin, ani kapatmalar veri kaybına sebep olabilir.
• Yetkisiz veya plansız kapatma ve yeniden başlatmalar, güvenlik ihlallerini veya kötü amaçlı yazılım saldırılarını işaret edebilir. Bu olaylar, izinsiz müdahaleleri tespit etmek için de takip edilmelidir.

Aşağıda bu olaylarla ilişkili bazı önemli Event ID’ler ve takip edilme nedenleri …

• Event ID 6006: The Event log service was stopped: Bu olay, sistem düzgün bir şekilde kapandığında kaydedilir, kapanış sürecinin normal olduğunu gösterir.
• Event ID 6008: The previous system shutdown was unexpected: Bu olay, sistemin beklenmedik bir şekilde kapandığını (Elektrik kesintisi veya power düğmesi)
• Event ID 1074: Restart or Shutdown(Planned): Sistem bir uygulama, kullanıcı veya güncelleme nedeniyle yeniden başlatıldığında veya kapandığında kaydedilir.
• Event ID 41: The system has rebooted without cleanly shutting down: Bu olay, sistem kritik bir kapanma yaşadığında (örneğin, donanım hatası veya güç kesintisi) kaydedilir. Sistem düzgün bir şekilde kapanmadan yeniden başlatıldığında oluşur.
• Event ID 6005: The Event log service was started: Sistem başarıyla yeniden başlatıldığında veya ilk kez başlatıldığında bu olay kaydedilir.