KATEGORI KOMPUTER HIDUP/MATI (SYSTEM)
6005 = Service EventLog dimulai (Identik dengan waktu komputer hidup).
6006 = Service EventLog berakhir (Identik dengan waktu komputer mati).
6009 = Informasi processor yang terdeteksi ketika boot time.
6013 = Durasi waktu boot / loading windows. (Jam 12:00 selalu tercatat lagi)
Urutannya: 6009 - 6005 - 6013
41 = Komputer tiba-tiba mati karena lost power, hang, crash.
6008 = Informasi waktu komputer tiba-tiba mati (sebelumnya)
Urutannya: 41 - 6008 (Kadang 41 tidak diikuti 6008)
KATEGORI USER LOGIN/LOGOUT (SECURITY)
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='LogonType'] and (Data='2')]]
and
*[EventData[Data[@Name='TargetUserName'] and (Data='<NAMA USER>')]]
and
*[System[(Computer='<NAMA KOMPUTER>') and (EventID=4624)]]
</Select>
</Query>
</QueryList>
Sumber:
maketecheasier.com
Jika fast startup di windows aktif, maka event 6009 (komputer hidup) dan 6005 (event log diaktifkan) tidak ada. Solusinya untuk cek kapan dihidupkan = Event ID 1 (Source: Power-Troubleshooter) atau Event ID 107 (Source: Kernel-Power). Untuk cek kapan dimatikan = Event ID 42 (Source: Kernel-Power)
BalasHapusNormal shutdown = Event ID 1074 (Source: User32). Normal shutdown + Fast startup aktif = Event ID 42 (Source: Kernel-Power). Event log berhenti = Event ID 6006 (Source: EventLog). Mati mendadak = Event ID 41 (Source: Kernel-Power) lalu Event ID 6008 (Source: EventLog)
BalasHapus