利用 OMS 搜尋追蹤關機事件

概要： 學習如何利用 OMS 尋找並解析伺服器關機事件。

搜尋關機事件

若直接搜尋 shutdown，會對整個環境搜尋包含 shutdown 的名稱、描述。此搜尋回傳了超過四千個事件，但這遠超過了我搜尋的目的：

利用事件來源追蹤

Shutdown Event Tracker 功能會從 User32 來源產生事件並寫道系統的事件記錄中。因此在搜尋時利用 User32 來源為系統事件記錄過濾事件種類。以下是搜尋指令和範例搜尋畫面：

shutdown Type=Event EventLog=System Source=User32

可以看到有120個搜尋結果。您可以下拉或是在畫面左邊快速瀏覽資訊。在此範例中可以看到有兩個 event level：118個 information events 和 2 個警示。

一般來說，對於警示訊息都會較有興趣，因此首先依照 EventLevelName 分組：

shutdown Type=Event EventLog=System Source=User32 | measure count() by EventLevelName

以下搜尋畫面和回傳的資料：

若在搜尋結果點選 Warning，搜尋指令會變成：

shutdown Type=Event EventLog=System Source=User32 EventLevelName=warning

點開第一個記錄，可以看到是 RANDS\Administrator 發生了預期外的關機：