Cómo ver quién reinició un servidor Windows (Event Viewer)

Para saber quién reinició un servidor Windows, lo más fiable es usar el Visor de eventos y revisar los registros del sistema.

Ahí es donde se guarda toda la información sobre reinicios, apagados y errores críticos.

Aquí te dejo cómo lo hago yo en producción para identificar rápidamente reinicios y apagados en Windows Server sin perder tiempo.

Eventos clave que debes revisar

Para saber quién reinició un servidor Windows, lo más fiable es usar el Visor de eventos y revisar los eventos del sistema.

Los eventos más importantes son:

  • ID 1074 → reinicio iniciado por usuario o sistema
  • ID 6006 → apagado limpio
  • ID 6008 → apagado inesperado
  • ID 41 → reinicio por fallo o corte

Con estos eventos puedes saber rápidamente qué ha pasado.

Todos estos eventos los puedes ver en el Visor de eventos dentro de Registros de Windows → Sistema.

Eventos de reinicio y apagado que debemos revisar

Estos son los principales Event ID relacionados con reinicios en Windows Server:

Evento ID 6005
“El servicio de registro de eventos se inició.”
Indica el inicio del sistema.

Evento ID 6006
“El servicio de registro de eventos se detuvo.”
Se produce durante un apagado correcto.

Evento ID 6008
“El cierre del sistema anterior fue inesperado.”
Indica que el sistema no se cerró correctamente.

Evento ID 6009
Muestra la versión del sistema operativo detectado en el arranque.

Evento ID 6013
Indica el tiempo de actividad (uptime) del sistema.

Evento ID 1074
“El proceso X ha iniciado el reinicio/apagado en nombre del usuario Y.”
Este es el más importante cuando queremos saber quién reinició el servidor.

Evento ID 1076
Registra el motivo que un usuario con privilegios indicó tras un apagado inesperado.

Microsoft documenta estos eventos en su documentación oficial:
https://learn.microsoft.com/en-us/windows-server/

Importante

Si el servidor se apaga por un fallo eléctrico o corte de energía, es posible que no se registre un evento de apagado correcto (6006).

Cómo saber el tiempo de arranque del sistema

Para comprobar cuándo arrancó el sistema:

Si el sistema operativo está en inglés:

systeminfo | find /i "System Boot Time"

Si está en español:

systeminfo | find /i "Tiempo de arranque del sistema"

Esto nos permite verificar rápidamente la última hora de inicio sin entrar al visor de eventos.

Ejemplo real de investigación

Imagina que un lunes llegas y te dicen que el servidor se reinició durante el fin de semana.

Lo primero que haría sería:

  1. Abrir el Visor de Eventos.
  2. Filtrar por los eventos 1074 y 6008.
  3. Revisar la hora exacta del reinicio.
  4. Comprobar si el evento 1074 muestra usuario o proceso responsable.
Evento 1074 en el visor de eventos de Windows mostrando usuario que inició el reinicio servidor windows visor eventos

Si aparece algo como:

El proceso «C:\Windows\System32\shutdown.exe» inició el reinicio en nombre del usuario «DOMINIO\usuario».

Ya tienes la respuesta.

Si no hay 1074 pero sí 6008, probablemente fue un apagado inesperado (corte eléctrico, fallo hardware o cuelgue).

Con eso normalmente puedes acotar bastante rápido qué ha pasado.

Cómo identificar un reinicio inesperado en Windows Server

FAQ

¿Cómo saber quién apagó un servidor Windows?
Revisando el evento 1074 en el Visor de Eventos.

¿Qué significa el evento 6008?
Indica que el sistema se cerró de forma inesperada.

Espero que os sirva

También puedes revisar otros artículos relacionados con administración de Windows Server en el blog.

Error de reinicio al aplicar actualizaciones en Windows Server 2012

Mover una base de datos SQL Server a otro disco (MDF/LDF) sin errores

 

 

Compartir

Compartir en LinkedIn

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *