Register Now

Login

Lost Password

Lost your password? Please enter your email address. You will receive a link and will create a new password via email.

Captcha Click on image to update the captcha .

Add post

You must login to add post .

Login

Register Now

Lorem ipsum dolor sit amet, consectetur adipiscing elit.Morbi adipiscing gravdio, sit amet suscipit risus ultrices eu.Fusce viverra neque at purus laoreet consequa.Vivamus vulputate posuere nisl quis consequat.

FUCK! El servidor se ha reiniciado… ¿qué ha pasado? Eventos con ID 1074 y 1076

Difunde No Solo Hacking!

El servidor se ha reiniciado… los sudores fríos empiezan a aparecer, preguntas sin parar en la cabeza… a ver qué demonios ha pasado aquí… empezamos a loguearnos rezando a todo lo que se nos ocurre y empezamos a comprobar los servicios y… phew! todo está perfecto! Hemos tenido suerte hoy así que no toca hacer horas extras xD.

Veamos qué cojones ha hecho que me lleve este susto innecesario….

Para poder investigar reinicios de servidor tanto inesperados, como planeados u otras condiciones nos tenemos que ir a nuestro amigo Event Viewer.

Para ello buscaremos eventos con códigos específicos: 1074 y 1076

Cada vez que haya un reinicio que sea planeado/controlado, por ejemplo, después de instalar unas actualizaciones, después de instalar un rol, se reiniciará el sistema. Esto hace que registre un evento de origen USER32 y el ID de Evento: 1074.

En cambio, si se produce un corte de corriente y el servidor se apaga a las bravas, hace que registre un evento de origen USER32 y el ID de Evento: 1076.

¿Cómo buscamos fácilmente estos registros en el Event Viewer? Pues de una manera muy sencilla, filtrando por ID. Abrimos Event Viewer buscándolo en el menú de inicio o ejecutamos “eventvwr.exe”.

 

Una vez lo tengamos abierto, en el árbol de la izquierda seleccionamos “Windows logs” y “System”. 

Después,  nos vamos al panel de la derecha en Acciones/Actions y clickamos “Filter current log…”

Esto nos va a abrir una nueva ventana en la que debemos indicar tanto si queremos filtrar por un ID u otro.

Le damos OK y nos mostrará todos los resultados de ese filtro.

Si seleccionamos uno de ellos nos mostrará la información resultante de por qué se ha apagado. En el siguiente ejemplo vemos que el cliente de SCCM ha iniciado el reinicio del servidor.


Difunde No Solo Hacking!

About Carlos Melantuche


Follow Me

Leave a reply

error: ooops!