1、Windows虚拟机:查看计算机管理-事件查看器-Windows日志-系统,不要过滤,翻页阅读到重启时间点前的日志,关注系统错误/告警日志,如下图事件ID:1074内容
![]()
常用的系统system事件ID:
1074,查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示日志服务已启动,用来判断正常开机进入系统。
6006,表示日志服务已停止,用来判断系统关机。
6009,表示非正常关机, 按ctrl、alt、delete键关机。
41,表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。
4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。
35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常
134,当出现时间同步源DNS解析失败时会出现此事件ID。
7045,服务创建成功
7030,服务创建失败
Linux虚拟机:查看/var/crash下是否生成了与重启时间吻合的crash日志
![]()
结合日志内容网上查找相关案例,如是这种则是内存回收驱动导致的重启,见预警YJ20190902001
![]()
Linux常用日志:
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
2、检查虚拟机内部系统日志,系统日志中查看重启时间点前是否有重启相关日志信息,单台/多台重启均需检查
3、如果多台重启,则要总结归纳这些虚拟机的共同点,例如多台同一时重启,但又不是所有虚拟机重启,可以关注他们的共同点以及这些虚拟机和其他未重启虚拟机的区别。例如存储位置、运行位置、重启的虚拟机内部是不是都有安装某类统一管理、防护、定时重启的软件,是否在重启时间点下发了某些策略、软件更新等。
如一下示图案例特点:多台重启、虚拟机名称相近(大部分用户命名习惯会偏向同软件业务虚拟机名字相近)、同一时间重启
结合Windows事件日志打印的重启日志、软件更新时间匹配重启时间等获取到的信息综合可推断是此安全软件更新系统触发重启,最终客户那边证实确实如此。
4、如果单台重启,可优先检查C:\Windows\下是否生成了MEMORY.DMP Mini.dump日志,生成时间点是否与重启时间吻合,如吻合,结合事件日志中的记录可判断是蓝屏触发的重启,转而排查分析蓝屏原因
发表于 2024-7-30 11:38
