Existem várias maneiras de verificar quem reiniciou ou desligou um servidor Windows. Aqui estão alguns métodos:

1. Visualizador de eventos:

- Abra o Visualizador de Eventos pressionando Tecla Windows + R , digite "eventvwr.msc" e pressione Enter .
- Expanda “Logs do Windows” no painel esquerdo e selecione “Sistema”.
- Procure eventos com IDs de evento 1074 para desligamento do sistema e 1076 para reinicialização do sistema.
- Clique duas vezes no evento para ver detalhes como o usuário que iniciou a ação e a hora em que ela ocorreu.

2. Política de auditoria:

- Abra o Editor de Política de Grupo Local pressionando Tecla Windows + R , digite "gpedit.msc" e pressione Enter .
- Navegue até Configuração do computador> Configurações do Windows> Configurações de segurança> Políticas locais> Política de auditoria .
- Clique duas vezes em “Acompanhamento do processo de auditoria” e certifique-se de que esteja definido como “Sucesso”.
- Após uma reinicialização ou desligamento, retorne a esta configuração e verifique os logs de eventos para IDs de evento 4634 (logoff iniciado) e 4647 (desligamento ou reinicialização bem-sucedida).

3. Prompt de Comando:

- Abra o prompt de comando como administrador.
- Execute o seguinte comando:
```
contas líquidas
```
- Isso exibirá uma lista de contas de usuário e fornecerá informações sobre os últimos horários de login e logoff.

4. Registro de segurança:

- Abra o Visualizador de Eventos (conforme mencionado no método 1).
- Expanda “Logs do Windows” e selecione “Segurança”.
- Procure eventos relacionados a logons e logoffs de usuários. IDs de evento 4624 , 4634 , 4647 e 4672 são particularmente relevantes para rastrear reinicializações e desligamentos do sistema.

Ao combinar esses métodos, você pode monitorar e identificar com eficácia quem reiniciou ou desligou seu servidor Windows, juntamente com a hora correspondente e os detalhes da ação.