Как диагностировать рандомные перезагрузки ПК в домене?

человек с телеги посоветовал "может быть переименовать shutdown.exe и псмотерть - какие ошибки высыпятся (в том числе и в логи)?" )))))

Как диагностировать рандомные перезагрузки ПК в домене?

Роман Безруков, нет, совсем ничего :)

Как диагностировать рандомные перезагрузки ПК в домене?

К сожалению логи безопасности, установка и приложение ничего интересного не говорят, только в логе система событие с перезагрузкой и дальше сопутствующие перезагрузке события (остановка/запуск служб и т.п.)

Как диагностировать рандомные перезагрузки ПК в домене?

есть и с другим текстом перезагрузки

Как диагностировать рандомные перезагрузки ПК в домене?

Может быть это делает какое-нибудь приложение, у которого есть необходимые права, еще начал думать в сторону нашего KSC.

Как диагностировать рандомные перезагрузки ПК в домене?

Проверяли шедули на компах, ничего такого нет

Как получать метрики с СХД через протокол CIM/WBEM?

SunTechnik, будем пробовать, спасибо за рекомендации!

Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?

Так в этом и смысл вопроса, как сделать ссылки на 1с доверенными, а не отключать оповещение outlook.

Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?

Роман Безруков,
Вроде всё открыто, проблема похоже действительно в channelAccess.

DC1

spoiler

PS C:\Windows\system32> Get-Service -Name 'Wecsvc' | fl *
Name                : Wecsvc
RequiredServices    : {Eventlog, HTTP}
CanPauseAndContinue : False
CanShutdown         : True
CanStop             : True
DisplayName         : Сборщик событий Windows
DependentServices   : {}
MachineName         : .
ServiceName         : Wecsvc
ServicesDependedOn  : {Eventlog, HTTP}
ServiceHandle       : SafeServiceHandle
Status              : Running
ServiceType         : Win32OwnProcess, Win32ShareProcess
StartType           : Automatic
Site                :
Container           :

PS C:\Windows\system32> Test-NetConnection -ComputerName 'localhost' -Port 5985
ComputerName     : localhost
RemoteAddress    : ::1
RemotePort       : 5985
InterfaceAlias   : Loopback Pseudo-Interface 1
SourceAddress    : ::1
TcpTestSucceeded : True

DC2

spoiler

PS C:\Windows\system32> Get-Service -Name 'Wecsvc' | fl *
Name                : Wecsvc
RequiredServices    : {Eventlog, HTTP}
CanPauseAndContinue : False
CanShutdown         : True
CanStop             : True
DisplayName         : Сборщик событий Windows
DependentServices   : {}
MachineName         : .
ServiceName         : Wecsvc
ServicesDependedOn  : {Eventlog, HTTP}
ServiceHandle       : SafeServiceHandle
Status              : Running
ServiceType         : Win32ShareProcess
StartType           : Automatic
Site                :
Container           :

PS C:\Windows\system32> Test-NetConnection -ComputerName 'localhost' -Port 5985
ComputerName           : localhost
RemoteAddress          : ::1
RemotePort             : 5985
InterfaceAlias         : Loopback Pseudo-Interface 1
SourceAddress          : ::1
PingSucceeded          : True
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : True

Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?

MaxKozlov, 5004 ошибки нет.

Добавляли права на обоих DC.
Повторяю команду:

wevtutil sl security /ca:O:BAG:SYD:"(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"

-никаких ошибок не выдаёт, в powershell как будто всё отработало успешно, но сейчас вижу в выводе "wevtutil gl security" - отсутствуют права на учётку сетевой службы:

PS C:\Windows\system32> wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)

Что любопытно, "S-1-5-32-573" идентификатор группы "Читатели журнала событий", т.е. по идеи у членов этой группы должен быть доступ к данному логу, добавил в группу NETWORK SERVICE, но не помогло :(