Subscribe Now

* You will receive the latest news and updates on your favorite celebrities!

Trending News
13 Mar 2025
Recursos

Identificar Quién Reinició Windows 10: Guía Completa con el Visor de Eventos 

Tecnno Trends, 8 months ago 10 min read 286  
Identificar Quién Reinició Windows 10: Guía Completa con el Visor de Eventos

En sistemas operativos como Windows 10, es fundamental poder rastrear y auditar las acciones significativas que ocurren en el sistema, como reinicios y apagados. Estas acciones pueden ser iniciadas por usuarios, procesos del sistema, o debido a fallos inesperados. Conocer quién inició un reinicio o apagado y las razones detrás de estos eventos es crucial para la gestión y seguridad del sistema, especialmente en entornos corporativos o cuando se administran múltiples equipos.

El Visor de eventos de Windows es una herramienta poderosa que registra una amplia gama de actividades del sistema, permitiendo a los administradores y usuarios avanzados investigar estos eventos en detalle. A través de esta herramienta, es posible acceder a registros detallados que documentan cuándo se realizaron los reinicios, quién los inició, y las razones proporcionadas para dichas acciones. Esta guía proporciona un enfoque paso a paso para utilizar el Visor de eventos para identificar y analizar los eventos de reinicio en un sistema Windows 10.

1. Abrir el Visor de eventos

El Visor de eventos es una herramienta integrada en Windows que permite a los usuarios ver una variedad de eventos registrados por el sistema operativo y las aplicaciones. Estos eventos pueden incluir errores, advertencias, información sobre el sistema, y eventos específicos como apagados y reinicios.

Pasos para abrir el Visor de eventos:

  1. Usar el cuadro de diálogo Ejecutar:
    • Presiona las teclas Win + R en tu teclado al mismo tiempo. La tecla Win es la que tiene el logotipo de Windows.
    • Esto abrirá el cuadro de diálogo “Ejecutar”, una herramienta útil para acceder rápidamente a programas y configuraciones.
  1. Comando para abrir el Visor de eventos:
    • En el cuadro de diálogo Ejecutar, escribe eventvwr (abreviatura de “Event Viewer”, que es el nombre en inglés del Visor de eventos).
    • Haz clic en “Aceptar” o presiona Enter en tu teclado. Esto iniciará el Visor de eventos.

Alternativas para abrir el Visor de eventos:

  • Menú de inicio: Puedes buscar “Visor de eventos” directamente en el menú de inicio. Simplemente abre el menú de inicio (puedes hacerlo presionando la tecla Win) y comienza a escribir “Visor de eventos”. Haz clic en la aplicación cuando aparezca en los resultados de búsqueda.

  • Panel de control: En versiones anteriores de Windows 10 o en configuraciones específicas, el Visor de eventos también puede ser accesible a través del Panel de control bajo “Herramientas administrativas”.

Una vez abierto, el Visor de eventos te proporcionará acceso a una variedad de registros, donde podrás filtrar y revisar eventos específicos, como los relacionados con apagados y reinicios del sistema. Esta herramienta es esencial para el diagnóstico y resolución de problemas en sistemas Windows.

2. Navegar al registro adecuado

Una vez que hayas abierto el Visor de eventos, el siguiente paso es encontrar el registro que contiene los eventos relacionados con los reinicios o apagados del sistema.

Pasos detallados para navegar al registro del sistema:

  1. Visor de eventos – Panel de navegación:
    • En el Visor de eventos, verás una estructura en forma de árbol en el panel izquierdo, que organiza los eventos en varias categorías.
    • La primera sección suele llamarse “Visor de eventos (local)” o simplemente “Visor de eventos”.
  2. Expandir “Registros de Windows” (Windows Logs):
    • Dentro de esta sección, hay una carpeta llamada “Registros de Windows” (Windows Logs). Para expandir esta carpeta, puedes hacer clic en el pequeño triángulo o signo más (+) a la izquierda del nombre. Esto desplegará varias subcategorías de registros.
  3. Seleccionar “Sistema” (System):
    • Una vez que “Registros de Windows” esté expandido, verás varias categorías, incluyendo “Aplicación”, “Seguridad”, “Instalación”, “Sistema”, y posiblemente otras dependiendo de tu sistema y configuración.
    • Haz clic en “Sistema” (System). Esta categoría almacena eventos relacionados con el sistema operativo, como arranques, apagados, errores del sistema, y otros eventos críticos.
    • El panel central del Visor de eventos se actualizará para mostrar una lista de eventos registrados bajo esta categoría.

Importancia de la categoría “Sistema”:

El registro “Sistema” es particularmente relevante cuando se busca información sobre eventos como apagados y reinicios porque:

  • Eventos críticos y de errores: Incluye registros de errores críticos y advertencias, que pueden explicar por qué se produjo un apagado inesperado.
  • Eventos informativos: Registra eventos informativos, como el inicio y cierre de servicios del sistema, que pueden ser útiles para entender el contexto de un reinicio o apagado.
  • Eventos específicos de apagado/reinicio: Incluye eventos específicos que documentan cuándo y cómo se apagó o reinició el sistema, así como detalles sobre quién o qué inició el evento.

Navegar a este registro es un paso esencial para auditar eventos de sistema importantes y obtener un entendimiento claro de la actividad en el equipo.

3. Filtrar eventos relevantes

El registro del sistema en el Visor de eventos contiene una gran cantidad de datos, por lo que filtrar estos eventos es útil para encontrar rápidamente la información relevante.

Pasos para filtrar eventos:

  1. Abrir la opción de filtrado:
    • Con “Sistema” seleccionado en el panel izquierdo, ve al panel derecho (a veces denominado “Acciones”) y busca una opción que diga “Filtrar registro actual…” (Filter Current Log...). Haz clic en esta opción para abrir el cuadro de diálogo de filtrado.
Filtrado en visor de eventos
Filtrado en visor de eventos
  1. Configurar el filtro:
    • Identificadores de eventos (Event IDs): En el cuadro de diálogo de filtrado, encontrarás un campo para ingresar identificadores de eventos específicos que deseas ver. Los identificadores relevantes para apagados y reinicios incluyen:
      • 1074: Indica que un apagado o reinicio se inició por un usuario o proceso (por ejemplo, una actualización o un administrador del sistema).
      • 6006: Registra que el servicio de registro de eventos se ha detenido, lo cual ocurre durante un apagado ordenado del sistema.
      • 6008: Indica que el sistema se cerró de forma inesperada (apagado forzado o pérdida de energía).
    • Escribe 1074, 6006, 6008 en el campo “Identificadores de eventos” para ver estos eventos específicos. Asegúrate de separar cada número con una coma.

2. Aplicar el filtro:

  • Haz clic en “Aceptar” para aplicar el filtro. El Visor de eventos ahora mostrará solo los eventos con los identificadores especificados, simplificando la búsqueda de eventos relacionados con apagados y reinicios.

Si solo filtramos por 6008, veremos los eventos con nivel de Error donde veremos que el sistema se apagó/reinició por algún problema:

    Notas adicionales:

    • Interpretación de los eventos: Al aplicar el filtro, verás una lista de eventos en el panel central. Cada entrada muestra información básica como la fecha y hora del evento, el identificador del evento, y una breve descripción. Para ver más detalles, haz doble clic en un evento para abrir una ventana con información más detallada.
    • Detalles del evento: En la ventana de detalles, encontrarás información como la fuente del evento, la descripción detallada del mismo, y en algunos casos, el nombre de usuario o proceso que inició el reinicio o apagado. Esto puede ayudarte a identificar quién o qué causó el reinicio.

    Este proceso te permite localizar de manera eficiente eventos específicos en el registro del sistema, lo que es especialmente útil para la resolución de problemas o la auditoría de actividades en el sistema.

    4. Revisar los eventos

    Después de aplicar el filtro para los eventos con los identificadores 1074, 6006, y 6008, puedes examinar estos eventos para obtener información específica sobre los reinicios o apagados del sistema.

    Pasos para revisar los eventos:

    1. Examinar la lista de eventos:
      • Con el filtro aplicado, el panel central del Visor de eventos mostrará una lista de eventos que coinciden con los identificadores especificados. Esta lista incluirá columnas como “Fecha y hora”, “Identificador de evento”, “Fuente”, y “Resumen del evento”.
      • Cada fila representa un evento individual. Los eventos con el identificador 1074 son especialmente importantes, ya que suelen registrar información sobre quién inició el apagado o reinicio y por qué.
    2. Ver detalles de un evento específico:
      • Para obtener información detallada, haz doble clic en un evento de la lista. Esto abrirá una nueva ventana con una descripción más detallada del evento.

    3. Interpretar los detalles del evento:

    • Pestaña “General”:
      • En esta pestaña, verás una descripción en lenguaje natural del evento. Para los eventos con el identificador 1074, normalmente se muestra información como el motivo del apagado/reinicio, el usuario o proceso que lo inició, y cualquier mensaje adicional proporcionado.
      • Ejemplo de un mensaje: “El proceso explorer.exe ha iniciado el apagado del equipo DESKTOP-NOMBRE en nombre del usuario \Usuario\Administrador por el siguiente motivo: Otra razón (Planned)”.
    • Pestaña “Detalles”:
      • Proporciona una vista más técnica del evento. Puedes ver detalles como:
        • Computer: El nombre del equipo donde ocurrió el evento.
        • EventData: Un bloque de información que puede incluir campos como “User” (usuario), “ShutdownType” (tipo de apagado), y otros datos específicos del evento.
      • En el campo “User” o “UserID”, se especifica generalmente el nombre del usuario que inició el reinicio o apagado, si esta información está disponible.

      Consideraciones adicionales:

      • Eventos 1074: Estos eventos suelen ser los más útiles para identificar al usuario, ya que registran quién inició un apagado o reinicio planeado.
      • Eventos 6006 y 6008: Ayudan a entender el contexto de los apagados. El evento 6006 indica un apagado limpio (apagado ordenado), mientras que el evento 6008 indica un apagado inesperado, que podría sugerir un problema de sistema o una pérdida de energía.

      Revisar estos eventos te proporciona una visión detallada de cuándo y cómo se realizaron los apagados o reinicios, y en muchos casos, quién los inició. Esto es útil para auditorías, resolución de problemas, o simplemente para mantener un registro de la actividad del sistema.

      5. Detalles del evento

      Una vez que has identificado eventos relevantes (como aquellos con el identificador 1074), puedes obtener información más específica sobre cada uno revisando los detalles de los eventos. Esto es especialmente útil para saber quién ha iniciado un reinicio o apagado en Windows 10.

      Acceso y exploración de los detalles del evento:

      1. Abrir los detalles del evento:
        • Después de aplicar el filtro y localizar un evento relevante en la lista (como un evento 1074), haz doble clic en el evento para abrir una ventana con información detallada.
      2. Pestaña “General”:
        • En esta pestaña, obtendrás una descripción en lenguaje natural del evento. Para eventos 1074, esta descripción incluye:
          • Proceso que inició el apagado/reinicio: Muestra el nombre del proceso que solicitó el reinicio, como explorer.exe u otro servicio o aplicación.
          • Usuario: Indica el nombre de usuario que inició el apagado o reinicio, si está disponible. Esto puede ser útil para identificar si fue un administrador, un usuario específico, o un proceso del sistema.
          • Razón del apagado/reinicio: A veces, se incluye una razón proporcionada por el usuario o el sistema, como “Otra razón (Planned)” o “Mantenimiento del sistema”.
          • Mensaje adicional: Puede haber mensajes personalizados o información adicional que acompañe el evento.
      3. Pestaña “Detalles”:
        • Esta pestaña ofrece una vista más técnica y detallada, presentando la información en un formato estructurado (como XML).
        • Campos importantes en “Detalles”:
          • EventID: Confirma el identificador del evento, que debería coincidir con los que filtraste (1074, 6006, 6008).
          • Computer: Muestra el nombre del equipo en el que ocurrió el evento.
          • EventData: Dentro de esta sección, puedes encontrar:
            • User: El nombre de usuario que inició el evento. Este campo es crucial para identificar la persona o cuenta responsable del reinicio.
            • ReasonCode: Un código que indica la razón para el apagado o reinicio, que puede corresponder a diferentes motivos predefinidos.
            • ShutdownType: Indica si el evento fue un apagado (shutdown) o reinicio (restart).
            • Comment: Puede incluir comentarios adicionales sobre el motivo del evento, si se proporcionaron.

      Ejemplo práctico:

      Un ejemplo típico de los detalles que podrías encontrar es el siguiente:

      • EventID: 1074
      • Computer: DESKTOP-1234
      • EventData:
        • User: \Usuario\Administrador
        • ShutdownType: restart
        • ReasonCode: 0x80020002
        • Comment: “Reinicio planeado para la instalación de actualizaciones”

      Estos detalles proporcionan un contexto completo sobre quién, cómo, y por qué se realizó un reinicio o apagado, ayudándote a comprender mejor la actividad del sistema y la participación de los usuarios.

      Tags #Administración de sistemas #Auditoría de sistema #Guía paso a paso #Identificación de usuarios #Registro de eventos #Reinicio del sistema #Seguridad informática #visor de eventos #Windows 10
      Previous

      Cómo cambiar la contraseña en Linux 

      Next

      CapCut: Tu estudio de edición de video en el bolsillo

      Related posts