1. Gebeurtenisviewer:

- Open Logboeken door op Windows-toets + R te drukken , typ "eventvwr.msc" en druk op Enter .

- Vouw "Windows Logs" uit in het linkerdeelvenster en selecteer "Systeem".

- Zoek naar evenementen met evenement-ID's 1074 voor systeemuitschakeling en 1076 voor het opnieuw opstarten van het systeem.

- Dubbelklik op de gebeurtenis om details te zien, zoals de gebruiker die de actie heeft gestart en het tijdstip waarop deze plaatsvond.

2. Auditbeleid:

- Open de Editor voor lokaal groepsbeleid door op Windows-toets + R te drukken , typ "gpedit.msc" en druk op Enter .

- Navigeer naar Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Lokaal beleid> Auditbeleid .

- Dubbelklik op 'Auditproces volgen' en zorg ervoor dat dit is ingesteld op 'Succes'.

- Keer na opnieuw opstarten of afsluiten terug naar deze instelling en controleer de gebeurtenislogboeken op gebeurtenis-ID's 4634 (afmelden gestart) en 4647 (succesvolle afsluiting of herstart).

3. Opdrachtprompt:

- Open de opdrachtprompt als beheerder.

- Voer het volgende commando uit:

```

netto rekeningen

```

- Hierdoor wordt een lijst met gebruikersaccounts weergegeven en wordt informatie gegeven over de laatste in- en uitlogtijden.

4. Beveiligingslogboek:

- Open Event Viewer (zoals vermeld in methode 1).

- Vouw "Windows-logboeken" uit en selecteer "Beveiliging".

- Zoek naar gebeurtenissen met betrekking tot het aanmelden en afmelden van gebruikers. Gebeurtenis-ID's 4624 , 4634 , 4647 , en 4672 zijn met name relevant voor het volgen van het opnieuw opstarten en afsluiten van systemen.

Door deze methoden te combineren, kunt u effectief controleren en identificeren wie uw Windows-server opnieuw heeft opgestart of afgesloten, samen met de bijbehorende tijd en details van de actie.