Системны коды по анализу системы Windows Server 2008 R2:
Узнать кто перезагружал систему server 2008
Event Viewer -> Windows Logs -> System (Filter Current Log)
Event id 1074
Event id 6008 – Не штатное выключение сервера. (либо отключали электричество, либо перезагрузили через ilo)
Event id 26 – Сервер выключил УПС по истечении 20 минут. Application popup: System Shutdown
Event id 1076 Выключение системы
Event id 4478 Кто заходит на сервер с помощью RDP
Узнать кто успешно залогинился на сервере Windows Server 2008
Event id 1149
Узнать кто изменял пароль на учетную запись – Event id 4738
Параметр Password Last Set – отмечает дату когда был изменен пароль для учетной записи.
Level: Information