Etiqueta: reinicio

Cómo saber quién reinició un servidor Windows (1074 y 6008)

Cómo saber quién reinició un servidor Windows puede parecer algo sencillo, pero más de una vez me he encontrado con la típica situación:

“El servidor se ha reiniciado… pero nadie sabe quién lo hizo.”

Cuando un servidor Windows se reinicia o se apaga de forma inesperada, lo primero que suelo hacer es ir directo al Visor de Eventos. Ahí es donde realmente está la información útil.

Eventos de reinicio y apagado que debemos revisar

Estos son los principales Event ID relacionados con reinicios en Windows Server:

Evento ID 6005
“El servicio de registro de eventos se inició.”
Indica el inicio del sistema.

Evento ID 6006
“El servicio de registro de eventos se detuvo.”
Se produce durante un apagado correcto.

Evento ID 6008
“El cierre del sistema anterior fue inesperado.”
Indica que el sistema no se cerró correctamente.

Evento ID 6009
Muestra la versión del sistema operativo detectado en el arranque.

Evento ID 6013
Indica el tiempo de actividad (uptime) del sistema.

Evento ID 1074
“El proceso X ha iniciado el reinicio/apagado en nombre del usuario Y.”
Este es el más importante cuando queremos saber quién reinició el servidor.

Evento ID 1076
Registra el motivo que un usuario con privilegios indicó tras un apagado inesperado.

Microsoft documenta estos eventos en su documentación oficial:
https://learn.microsoft.com/en-us/windows-server/

Importante

Si el servidor se apaga por un fallo eléctrico o corte de energía, es posible que no se registre un evento de apagado correcto (6006).

Cómo saber el tiempo de arranque del sistema

Para comprobar cuándo arrancó el sistema:

Si el sistema operativo está en inglés:

systeminfo | find /i "System Boot Time"

Si está en español:

systeminfo | find /i "Tiempo de arranque del sistema"

Esto nos permite verificar rápidamente la última hora de inicio sin entrar al visor de eventos.

Ejemplo real de investigación

Imagina que un lunes llegas y te dicen que el servidor se reinició durante el fin de semana.

Lo primero que haría sería:

  1. Abrir el Visor de Eventos.
  2. Filtrar por los eventos 1074 y 6008.
  3. Revisar la hora exacta del reinicio.
  4. Comprobar si el evento 1074 muestra usuario o proceso responsable.
Evento 1074 en el visor de eventos de Windows mostrando usuario que inició el reinicio

Si aparece algo como:

El proceso «C:\Windows\System32\shutdown.exe» inició el reinicio en nombre del usuario «DOMINIO\usuario».

Ya tienes la respuesta.

Si no hay 1074 pero sí 6008, probablemente fue un apagado inesperado (corte eléctrico, fallo hardware o cuelgue).

Con eso normalmente puedes acotar bastante rápido qué ha pasado.

Cómo identificar un reinicio inesperado en Windows Server

FAQ

¿Cómo saber quién apagó un servidor Windows?
Revisando el evento 1074 en el Visor de Eventos.

¿Qué significa el evento 6008?
Indica que el sistema se cerró de forma inesperada.

Espero que os sirva

También puedes revisar otros artículos relacionados con administración de Windows Server en el blog.

Error de reinicio al aplicar actualizaciones en Windows Server 2012

Mover una base de datos SQL Server a otro disco (MDF/LDF) sin errores