Rastreador de eventos de apagado en Windows Server 2008 R2

Lo que se pretende en las dos próximas publicaciones es aprender el funcionamiento del rastreador de eventos de apagado (" Shutdown Event Tracker ") en Windows Server 2008 R2, a la vez de aprender también la forma de como deshabilitar esta funcionalidad si su empresa le impone esta tarea.

En muchas empresas este tipo de eventos viene muy bien para tener en cuenta los tiempos de inactividad del sistema o por ejemplo por algún acuerdo de nivel de servicio (SLA), para proporcionar la documentación para cualquier servidor que se reinicie o se apague.

En Microsoft Windows Server 2008 R2, el rastreador de sucesos de apagado no solo es útil en escenarios antes mencionados, sino que también nos puede ayudar a encontrar la solución a diversos problemas que puedan derivar del apagado del sistema y conocer el motivo de algunos apagados que a primera vista no tienen motivo justificable.

¿Cómo funciona el Rastreador de eventos de apagado?

En pocas palabras, el rastreador de eventos de apagado de Windows permite a los administradores de sistemas encontrar el evento que ha generado el apagado o reiniciado un sistema, generando una entrada en el registro de eventos del sistema, para posteriormente poder ser consultado.

Para aclarar un poco más las ideas sobre estos eventos vamos a aclarar algunos términos antes de proseguir:

· Planeado: Se trata de un apagado o reinicio en el caso de que nosotros tengamos conocimiento de que se va a realizar, es decir, que nosotros mismos queremos que suceda.

· No planeado: Este es un apagado o reinicio que no es esperado de antemano.

· Planificación + inesperado: Apagado utilizando el botón de encendido, comúnmente llamado apagado de emergencia. Es considerado un apagado planificado, porque nosotros queremos que el equipo se apague, pero es inesperado también ya que el sistema operativo no se lo espera.

Más sobre

Microsoft

· No planificado + inesperado: Se trata de un apagado o evento de reinicio imprevisto (por ejemplo, un corte de energía) que era inesperado por el sistema operativo

Cuando se pretende apagar o reiniciar un equipo en Windows Server 2008 R2, el comportamiento predeterminado del sistema operativo es mostrar un cuadro de dialogo con los eventos de apagado del rastreador, tal como se muestra en la siguiente figura:

Es aquí donde los administradores de sistema tienen la posibilidad de especificar si el evento es planeado o no, especificar una opción entre las disponibles y por ultimo realizar un comentario sobre el motivo por el cual se ha lanzado el evento de apagado.

En relación a estos eventos, en el registro de los eventos del sistema se almacenan con el ID de evento 1074 los eventos de apagado, es por eso que periódicamente se debe filtrar por ese ID para revisar de forma diferenciada los motivos que han conducido al lanzamiento de los eventos de apagado.

Rastreador de eventos de apagado en el registro de eventos de sistema

Si su servidor sufre una caída o reinicio inesperado el rastreador de eventos de apagado se invoca automáticamente utilizando una sesión del primer administrador autenticado en el sistema. En el siguiente post se hablará de las opciones para deshabilitar esta funcionalidad. Para mas noticias de seguridad informática y novedades en el sector de las tecnologías Microsoft, no dudéis en suscribiros en el canal de Windows Técnico, donde tendréis toda la información actualizada.