시스템 종료 또는 재시작하게 될 경우 이벤트 로그를 통해서 종료된 원인에 대해서 살펴볼 수 있습니다. 시스템 종료(재시작) 유형에 따라 이벤트 로그에는 어떤 코드가 기록되는지 확인해 보고자 아래와 같이 정리하였습니다. winlogon.exe 또는 explorer.exe 과연 어떤 프로세스에 의해서 종료되는지 비교해 볼 필요도 있겠네요.
[사례 1]
다음 이유 때문에 Explorer.EXE 프로세스에서 SQL2K5\Administrator 사용자를 대신하여 SQL2K5 컴퓨터에서 다시 시작을(를) 시작했습니다: 기타(계획되지 않음)
이유 코드: 0x5000000
- Administrator 사용자가 GUI(Explorer.EXE) 를 통해 계획되지 않은 시스템 재시작
[사례 2]
다음 이유 때문에 Explorer.EXE 프로세스에서 SQL2K5\Administrator 사용자를 대신하여 SQL2K5 컴퓨터에서 다시 시작을(를) 시작했습니다: 보안 문제
이유 코드: 0x84050013
- Administrator 사용자가 GUI(Explorer.EXE) 를 통해 보안 문제로 시스템을 재시작 (SHTDN_REASON_MINOR_SECURITY, 0x00000013)
[사례 3]
다음 이유 때문에 winlogon.exe 프로세스에서 SQL2K5\laigo 사용자를 대신하여 SQL2K5 컴퓨터에서 다시 시작을(를) 시작했습니다: 이 원인에 대한 제목 찾지 못함
이유 코드: 0x840000ff
- laigo 사용자가 command prompt 에서 shutdown(winlogon.exe) 명령을 사용하여 시스템 재시작
예) C:\> shutdown /r /f /t 0 /m \\localhost
[사례 4]
다음 이유 때문에 Explorer.EXE 프로세스에서 SQL2K5\Administrator 사용자를 대신하여 SQL2K5 컴퓨터에서 다시 시작을(를) 시작했습니다: 기타(계획됨)
이유 코드: 0x85000000
- Administrator 사용자가 GUI를 통해 계획된 시스템 재시작
[참고자료]
System Shutdown Reason Codes
http://msdn.microsoft.com/en-us/library/aa376885(v=vs.85).aspx
작성자 : Lai Go / 작성일자 : 2011.03.25
