今天晚上四点被服务器挂掉的短信吵醒，马上登录系统看看，发现服务进程已经关闭。

立马看系统事件，看样子是发生了重启

点击看详情：

事件类型:	审核成功
事件来源:	Security
事件种类:	登录/注销 
事件 ID:	683
日期:		2014-8-29
事件:		3:01:16
用户:		NT AUTHORITY\SYSTEM
计算机:	CHNYI-A6E3C6293
描述:
会话从 winstation 中断连接:
 	用户名:	Administrator
 	域:		CHNYI-A6E3C6293
 	登录 ID:		(0x0,0x11BBA97)
 	会话名称:	RDP-Tcp#109
 	客户端名:	
 	客户端地址:	
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

然后就是关机的记录：

事件类型:	审核成功
事件来源:	SECURITY
事件种类:	系统事件 
事件 ID:	513
日期:		2014-8-29
事件:		3:15:23
用户:		N/A
计算机:	CHNYI-A6E3C6293
描述:
Windows 正在关机。 所有的登录会话都会关闭。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

果然，是3点15分的时候关机，而这个事件的前身是因为SYSTEM在3点进行了登录，它在干嘛呢？

再看系统日志

日志详细：

事件类型:	信息
事件来源:	NtServicePack
事件种类:	无
事件 ID:	4377
日期:		2014-8-29
事件:		3:00:23
用户:		NT AUTHORITY\SYSTEM
计算机:	CHNYI-A6E3C6293
描述:
安装了 Windows Server 2003 修补程序 KB2993651。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

然后再看：

事件类型:	信息
事件来源:	Windows Update Agent
事件种类:	安装 
事件 ID:	22
日期:		2014-8-29
事件:		3:00:29
用户:		N/A
计算机:	CHNYI-A6E3C6293
描述:
需要重新启动: 要完成下列更新的安装，计算机将在 15 分钟内重新启动: 
- Windows Server 2003 x64 Edition 安全更新程序 (KB2993651)
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

原来是进行系统更新的安装，然后进行了自动重启。

看下系统更新方式

果然是这样，时间都对得上。

建议：

1：设置更新为手动操作。

2：或者在系统启动增加服务自动启动。

3：加强系统监控，发生类似事件后报警。