Функция Shutdown Event Tracker
Системы Windows XP и Windows Server 2003 дают администраторам возможность отслеживать причины перезагрузок и остановов компьютеров (рис. 25.6).
Эта возможность обеспечивается с помощью функции Shutdown Event Tracker, которая регистрирует причину каждой перезагрузки и каждого останова в системном журнале (System log). Анализируя эту информацию (Event Type: Information; Event Source: USER32; Event ID: 1074), системный администратор может выяснить наиболее распространенные причины перезагрузок и остановов системы, а также разработать меры, которые позволят минимизировать время простоя.
В Windows Server 2003 функция Shutdown Event Tracker по умолчанию активизирована; в Windows XP – не активизирована. Ее поведением можно управлять с помощью групповых политик (см. узел Computer Configuration › Administrative Templates › System).
Если пользователь, обладающий правом останова системы (shutdown privilege), выполняя останов, сбрасывает флажок Planned (см. рис. 25.6), указывая тем самым на то, что данная операция является незапланированной, то система регистрирует данные об этом событии в файле журнала, который сохраняется в каталоге %SystemRoot%\system32\LogFiles\Shutdown\. Просматривать эти данные и составлять на их базе отчеты могут только пользователи с административными правами.
Рис. 25.6. Функция Shutdown Event Tracker в Windows Server 2003