Scritp que fiz a ultima pessoa que logou no servidor( Script quem deu Shutdown no server)

Todas as Respostas

• 

  

  1

  Entrar para Votar

  Rafael,

  Talvez essa não seja a melhor forma de recuperar esta informação.

  Você poderia tentar ler o log de Sistema e pegar o evento de shutdown, que ao que indica na postagem do link abaixo é o 1704.

  Com o powershell você poderia usa o seguinte comando:

  Get-EventLog -LogName System -InstanceID 1074 -newest 1

  Ele lê o log de sistema (-LogName System), procura por eventos 1074 (-InstanceID) e traz apenas o resultado mais recente (-newest 1).

  Teste no seu servidor, veja se realmente é este o número do evento, se não conseguir retorne aqui e cole um exemplo do evento gerado.

  Outra dica: Não sei dizer se durante o shutdown este evento já estará disponivel, se não funcionar no shutdown você pode colocar no de inicialização pois ele vai pegar o último evento.

  Ref.:

  How to get the list of shutdown event with date?

  http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/77aae737-7fe8-414b-b9a8-d06a7ac1f874

  ---

  Fábio de Paula Junior

  
  

  • Editado Fábio JrModerator sexta-feira, 15 de março de 2013 11:39

  sexta-feira, 15 de março de 2013 11:39

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Fábio,

  Eu consegui  fazer pelo script mesmo, mas seria otimo  pegar o motivo escrito no shutdown, mas nao achei um jeito ainda .

  Meu problema de usar Power Shell é q conheço pouco e preciso rodar isso quando o servidor(tenho server 2003 e 2008)  estiver desligando ou reiniciando( pois esta informação grava num arquivo e outro sistema pega e joga numa Wiki(automaticamente).

  Para pegar o ulimo logon adicionei  mais algumas linhas que pega da variavel do regedit

  ===========================================

  Set oWMIService = GetObject("winmgmts:\\.\root\CIMV2")
  Set oFSO= WScript.CreateObject("Scripting.FileSystemObject")
  Set oShell = CreateObject("WScript.Shell")
  Set oNetwork = CreateObject("WScript.Network")
  Set objShell = CreateObject("WScript.Shell")
  strValor= objShell.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser")
  
  'Caminho para definir a localização do arquivo pode ser log ou txt.
  Destino = "\\Servidor\Reboot\"
  
  strComputer = oNetwork.ComputerName
  struser = oNetwork.UserName
  systime = Now()
  srtDay = cstr(day(systime))
  strMonth = cstr(month(systime))
  strYear = cstr(year(systime))
  strTime = cstr(Time())
  Const ForAppending = 2
  'Leitura = 1, Escrita = 2, Adicionar = 8
  
  
  
  'Definir o nome do log/txt
  StrNew = Destino & strComputer&".txt"
  set sf=Ofso.OpenTextFile (StrNew, ForAppending, True)
  sf.writeline "** Data: "& srtDay &"/"& strMonth &"/"& strYear & "   Responsável:" & strValor
  sf.writeline ""
  sf.writeline "   Servidor Reinicia para Atualização"
  sf.close
  
  ================================
  
  Voce sabe me dizer como pega a informação do que foi escrito no shutdown e se posso adicionar comandos powershell no meu script e se roda em 2003 tb ?
  
  

  ---

  Microsoft Certified System Administrator Microsoft Certified Desktop Support technician Mcafee System Security Certified MikroTik Certified Network Associate

  sexta-feira, 15 de março de 2013 12:02

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Uma pergunta: Vc está pegando o ultimo usuário que logou no servidor, e se o shutdown for remoto (Exemplo, um admin usar o comando shutdown da própria estação), e aí, este registro vai ser alterado? o cara não fez logon no servidor.

  Mesma resposta do anterior, usar event viewer, você chegou a fazer o teste de verificar os logs do event viewer pra ver se tem as informações que você precisa??????

  
  

  Você também consegue ler o event viewer pelo VBScript.

  Faça como eu disse, mande aqui pro fórum um evento de exemplo, aí tentamos "mastigar" o evento pra você ter todas as informações necessárias.

  Ref.:

  Win32_NTLogEvent class (Windows)

  http://msdn.microsoft.com/en-us/library/windows/desktop/aa394226(v=vs.85).aspx

  ---

  Fábio de Paula Junior

  sexta-feira, 15 de março de 2013 12:11

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Fabio,

  Testei o comando    " Get-EventLog -LogName System -EntryType Warning -InstanceID 1074 -newest 1" via power Shell o mais incrivel é que a ID do evento é essa mesmo 1074 ,mas ele da erro informando que nao encontra , mas se eu colocar qualquer outro numero de evento  ele encontra( OBS: conferi e o evento é esse e existe lah no log)
  

  Mas tenho que fazer via script, a faq que voce mandou é massa, mas nao consegui fazer funcionar .

  Sobre se o cara fizer shutdown remoto, isso nao teria problema ... ate pq a gente faz manualmente no servidor ....( esse log do shutdown é q sempre que reiniamos um servidor eu tenho q logar isso numa WIKI , ai estou tentando fazer automaticamente(pq sempre esquecemos heeh) .

  Meu script hj ta assim :

  ===========================================

  Set oWMIService = GetObject("winmgmts:\\.\root\CIMV2")
  Set oFSO= WScript.CreateObject("Scripting.FileSystemObject")
  Set oShell = CreateObject("WScript.Shell")
  Set oNetwork = CreateObject("WScript.Network")
  Set objShell = CreateObject("WScript.Shell")
  strValor= objShell.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser")
  
  'Caminho para definir a localização do arquivo pode ser log ou txt.
  Destino = "\\Servidor\Reboot\"
  
  strComputer = oNetwork.ComputerName
  struser = oNetwork.UserName
  systime = Now()
  srtDay = cstr(day(systime))
  strMonth = cstr(month(systime))
  strYear = cstr(year(systime))
  strTime = cstr(Time())
  Const ForAppending = 2
  'Leitura = 1, Escrita = 2, Adicionar = 8
  
  
  
  'Definir o nome do log/txt
  StrNew = Destino & strComputer&".txt"
  set sf=Ofso.OpenTextFile (StrNew, ForAppending, True)
  sf.writeline "** Data: "& srtDay &"/"& strMonth &"/"& strYear & "   Responsável:" & strValor
  sf.writeline ""
  sf.writeline "   Servidor Reinicia para Atualização"
  sf.close
  
  ================================

  O que gera hoje o script:

  Ele salva um TXT com o nome do Servidor :  Servidor.txt

  Dentro do TXT esta :

  ** Data: 15/3/2013(comando para pegar a data -FUNCIONA)    Responsável:Dominio\user que fez a ação (Comando que pega no Registro o ultima pessoa do logon -FUNCIONA)
  
     Servidor Reinicia para Atualização  ( Esta informação é estatica - AQUI QUE QUERIA  POR A INFORMAÇÂO DO EVENTO 1074(Que seria o que foi preenchido na horar do Shutdown ou Restart)

  =========================

  A saida sem as explicacoes:

  ** Data: 15/3/2013   Responsável:Dominio\user
  
     Servidor Reinicia para Atualização

  ---

  Microsoft Certified System Administrator Microsoft Certified Desktop Support technician Mcafee System Security Certified MikroTik Certified Network Associate

  sexta-feira, 15 de março de 2013 14:28

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Fabio as informações que quero adicionar é a deste log de evento(esse é do windows2008, mas acredito q deve ser o mesmo para win 2003)

  
  

  Ai ficaria a exbição no  TXT  assim :

  -------------------------------------------------------------------------------
  

  ** Data: 15/3/2013   Responsável:Dominio\user
  

  The process Explorer.EXE has initiated the restart of computer SERVIDOR on behalf of user DOMAIN\USER for the following reason: Other (Planned)
   Reason Code: 0x85000000
   Shutdown Type: restart
   Comment: ATUALIZACAO DO WINDOWS RAFAEL SCHMITT

  -------------------------------------------------------------------------------
  

  
  

  
  
  

  ---

  Microsoft Certified System Administrator Microsoft Certified Desktop Support technician Mcafee System Security Certified MikroTik Certified Network Associate

  
  

  • Editado Rafael Schmitt sexta-feira, 15 de março de 2013 15:42 Imagem

  sexta-feira, 15 de março de 2013 15:38

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Rafael,

  Veja este exemplo de evento do Windows 2003.

  Event Type:	Information
  Event Source:	USER32
  Event Category:	None
  Event ID:	1074
  Date:		17/3/2013
  Time:		17:33:43
  User:		LAB\administrator
  Computer:	SVDC01
  Description:
  The process Explorer.EXE has initiated the shutdown of computer SVDC01 on behalf of user LAB\Administrator for the following reason: Hardware: Installation (Planned)
   Reason Code: 0x84010002
   Shutdown Type: shutdown
   Comment: O servidor é meu eu desligo quando eu "querer"
  
  For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
  Data:
  0000: 02 00 01 84               ...„    

  
  

  Com o script abaixo vc consegue recuperar estas informações:

  On Error Resume Next
  strComputer = "."
  Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
  Set colItems = objWMIService.ExecQuery( _
  	"Select * from Win32_NTLogEvent where LogFile='System' and EventCode=1074",,48)
  For Each objItem in colItems
      Wscript.Echo "Category: " & objItem.Category
      Wscript.Echo "CategoryString: " & objItem.CategoryString
      Wscript.Echo "ComputerName: " & objItem.ComputerName
      Wscript.Echo "Data: " & objItem.Data
      Wscript.Echo "EventCode: " & objItem.EventCode
      Wscript.Echo "EventIdentifier: " & objItem.EventIdentifier
      Wscript.Echo "InsertionStrings: " & objItem.InsertionStrings
      Wscript.Echo "Logfile: " & objItem.Logfile
      Wscript.Echo "Message: " & objItem.Message
      Wscript.Echo "RecordNumber: " & objItem.RecordNumber
      Wscript.Echo "SourceName: " & objItem.SourceName
      Wscript.Echo "TimeGenerated: " & objItem.TimeGenerated
      Wscript.Echo "TimeWritten: " & objItem.TimeWritten
      Wscript.Echo "Type: " & objItem.Type
      Wscript.Echo "User: " & objItem.User
  
  	wscript.echo "==========="
  	wscript.echo objItem.InsertionStrings(0)
  	wscript.echo objItem.InsertionStrings(1)
  	wscript.echo objItem.InsertionStrings(2)
  	wscript.echo objItem.InsertionStrings(3)
  	wscript.echo objItem.InsertionStrings(4)
  	wscript.echo objItem.InsertionStrings(5)
  	wscript.echo objItem.InsertionStrings(6)
  
  	exit for
  Next

  
  

  Veja a saída do script

  Category: 0
  CategoryString:
  ComputerName: SVDC01
  EventCode: 1074
  EventIdentifier: -2147482574
  Logfile: System
  Message: The process Explorer.EXE has initiated the shutdown of computer SVDC01
  on behalf of user LAB\Administrator for the following reason: Hardware: Inst
  allation (Planned)
  
  Reason Code: 0x84010002
  
  Shutdown Type: shutdown
  
  Comment: O servidor é meu eu desligo quando eu "querer"
  
  RecordNumber: 240
  SourceName: USER32
  TimeGenerated: 20130317173343.000000-180
  TimeWritten: 20130317173343.000000-180
  Type: Information
  User: LAB\administrator
  ===========
  Explorer.EXE
  SVDC01
  Hardware: Installation (Planned)
  0x84010002
  shutdown
  O servidor é meu eu desligo quando eu "querer"
  LAB\Administrator
  
  

  
  

  Se não me engano  o motivo do desligamento está em 

  wscript.echo objItem.InsertionStrings(5)

  Veja que botei um exit for para que o for seja executado apenas uma vez, não existe a sintaxe TOP 1 no WQL.

  Acho que agora você tem tudo o que precisa. é só juntar com seu script.

  ---

  Fábio de Paula Junior

  
  

  • Editado Fábio JrModerator domingo, 17 de março de 2013 20:49
  • Marcado como Resposta Rafael Schmitt segunda-feira, 18 de março de 2013 13:34

  domingo, 17 de março de 2013 20:49

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Fabio,

  Tu é o cara hehe , fiz algumas alterações no seu script:

  1-  Mudei algumas variaveis para  nao confrontar

  2-  Adicionei um if  para dar o Exit , pois por incrivel que pareça toda vez q reinicia ou desliga ele coloca 2 evento no windows( ultimo nao pega o motivo e o penultimo pega (ai adicionei o if pra pegar o penultimo evento)

  Segue script com as modificacoes:

  ==================

  Set oWMIService = GetObject("winmgmts:\\.\root\CIMV2")
  Set oFSO= WScript.CreateObject("Scripting.FileSystemObject")
  Set oShell = CreateObject("WScript.Shell")
  Set oNetwork = CreateObject("WScript.Network")
  Set objShell = CreateObject("WScript.Shell")
  'strValor= objShell.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser")
  
  'Caminho para definir a localização do arquivo pode ser log ou txt.
  Destino = "\\Servidor\pasta\"
  Contador=0
  strComputer = oNetwork.ComputerName
  struser = oNetwork.UserName
  systime = Now()
  srtDay = cstr(day(systime))
  strMonth = cstr(month(systime))
  strYear = cstr(year(systime))
  strTime = cstr(Time())
  Const ForAppending = 2
  'Leitura = 1, Escrita = 2, Adicionar = 8
  
  On Error Resume Next
  'strComputer1 = "."
  Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
  Set colItems = objWMIService.ExecQuery( _
      "Select * from Win32_NTLogEvent where LogFile='System' and EventCode=1074",,48)
  For Each objItem in colItems
  '    Wscript.Echo "Category: " & objItem.Category
  '    Wscript.Echo "CategoryString: " & objItem.CategoryString
  '    Wscript.Echo "ComputerName: " & objItem.ComputerName
  '    Wscript.Echo "Data: " & objItem.Data
  '    Wscript.Echo "EventCode: " & objItem.EventCode
  '    Wscript.Echo "EventIdentifier: " & objItem.EventIdentifier
  '    Wscript.Echo "InsertionStrings: " & objItem.InsertionStrings
  '    Wscript.Echo "Logfile: " & objItem.Logfile
  '    Wscript.Echo "Message: " & objItem.Message
  '    Wscript.Echo "RecordNumber: " & objItem.RecordNumber
  '    Wscript.Echo "SourceName: " & objItem.SourceName
  '    Wscript.Echo "TimeGenerated: " & objItem.TimeGenerated
  '    Wscript.Echo "TimeWritten: " & objItem.TimeWritten
  '    Wscript.Echo "Type: " & objItem.Type
  '    Wscript.Echo "User: " & objItem.User
  
  '    wscript.echo "==========="
  '    wscript.echo objItem.InsertionStrings(0)
  '    wscript.echo objItem.InsertionStrings(1)
  '    wscript.echo objItem.InsertionStrings(2)
  '    wscript.echo objItem.InsertionStrings(3)
  '    wscript.echo objItem.InsertionStrings(4)
  '    wscript.echo objItem.InsertionStrings(5)
  '    wscript.echo objItem.InsertionStrings(6)
  
  teste=objItem.Message
  Usua=objItem.User
  
  Contador = Contador + 1
  
   if (Contador = 2) then exit for
  
  Next
  
  'Definir o nome do log/txt
  StrNew = Destino & strComputer&".txt"
  set sf=Ofso.OpenTextFile (StrNew, ForAppending, True)
  sf.writeline "** Data: "& srtDay &"/"& strMonth &"/"& strYear & "   Responsável:" & Usua
  sf.writeline ""
  sf.writeline " " & teste
  sf.close

  ======================

  Saida do script:

  ======================

  ** Data: 18/3/2013   Responsável:Dominio\usuario
  
   The process Explorer.EXE has initiated the restart of computer SERVIDOR on behalf of user Dominio\usuario for the following reason: Other (Planned)
   Reason Code: 0x85000000
   Shutdown Type: restart
   Comment: Reiniciado para teste de Script
  

  ====================

  VALEU FABIO NOVAMENTE EU DIGO  TU É  O CARA hehe!!

  ---

  Microsoft Certified System Administrator Microsoft Certified Desktop Support technician Mcafee System Security Certified MikroTik Certified Network Associate

  • Marcado como Resposta Rafael Schmitt segunda-feira, 18 de março de 2013 13:34

  segunda-feira, 18 de março de 2013 13:33

  Responder

  |

  Citação