Я пытаюсь составить список идентификаторов событий, которые можно использовать, чтобы определить, когда машина была выключена, запущена, заблокирована и разблокирована. На данный момент я нашел 6 идентификаторов событий, которые кажутся лучшими кандидатами, но мне было интересно, есть ли лучший способ их определения.
Ниже приведен список идентификаторов событий, которые я считаю полезными (1, 1074, 6005, 6006, 4800, 4801) из источников 'Power-Troubleshooter', 'User32', 'EventLog' и 'Microsoft Windows Security Auditing'. . Это из Windows 10 (v1511), и в настоящее время Windows 10 является моим единственным целевым требованием, поскольку это то, что запускают все клиентские машины.
Вот пример запроса фильтра, который я создал,
<QueryList>
<Query Id="0" Path="System">
<!-- Shutdown -->
<Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime >= '2017-11-28T00:00:00.0000000']]]</Select>
<!-- Event Service Stop/Start -->
<Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime >= '2017-11-28T00:00:00.0000000']]]</Select>
<!-- Startup -->
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime >= '2017-11-28T00:00:00.0000000']]]</Select>
<!-- Machine Lock/Unlock -->
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime >= '2017-11-28T00:00:00.0000000']]]</Select>
</Query>
</QueryList>
Я намеренно разделил источники в запросе, и они могут быть объединены вместе, но это жертвует удобочитаемостью IMO.
Мой вопрос: есть ли лучшая группа идентификаторов событий или лучший запрос, который я могу использовать? Есть ли идентификаторы событий, которые мне не хватает или которые я дублирую?
Ссылаясь на ваш запрос об идентификаторах событий запуска и выключения, я составил список ниже на основе компьютера с Windows 10. Суть в том, что в зависимости от действия завершения работы (плановая перезагрузка, плановое завершение работы, неожиданное завершение работы или сбой процесса LSASS) сгенерированные события будут разными:
- 1074 Процесс Explorer.EXE инициировал выключение компьютера от имени пользователя по следующей причине: Другое (незапланированное)
- 6006 Служба журнала событий остановлена.
- 109 Диспетчер питания ядра инициировал завершение работы.
- 13 Операционная система завершает работу в системное время
- 20 Состояние успешного последнего выключения было истинным. Статус успешной последней загрузки был истинным.
- 12 Операционная система запускается в системное время
- 6005 Запущена служба журнала событий.
- 6013 Время безотказной работы системы составляет 10 секунд.
Чтобы прояснить обзор по этим различным действиям по выключению я составил следующую таблицу. Надеюсь, это поможет.