Windows Server 重启/关闭历史记录

Question

Windows Server 重启/关闭历史记录

Joh*_*hnC 100 windows-server-2008 windows-event-log windows-server-2008-r2 windows-server-2012 windows-server-2012-r2

如何轻松查看每次 Windows Server 重新启动或关闭的历史记录以及原因，包括用户启动、系统启动和系统崩溃？

Windows 事件日志是一个显而易见的答案，但我应该查看的完整事件列表是什么？

我发现这些帖子部分回答了我的问题：

Windows 服务器上次重新启动时间包括几个部分解决完整重新启动历史记录的答案
在 Windows Server 2008 R2 下查看关闭事件跟踪器日志包括一个额外的事件 ID
计算机启动/启动时的事件日志时间包含一些相同的事件 ID

但那些并没有涵盖所有场景 AFAIK 并且信息很难理解，因为它分布在多个答案中。

我有多个版本的 Windows Server，因此一个至少适用于 2008、2008 R2、2012 和 2012 R2 版本的解决方案将是理想的。

Answer 1

Joh*_*hnC 120

我能找到的最清晰最简洁的答案是：

如何在 Windows 中查看 PC 启动和关闭历史记录

其中列出了要监控的这些事件 ID（引用但已从文章中编辑和重新格式化）：

事件 ID 6005（备用）：“事件日志服务已启动。” 这是系统启动的同义词。
事件 ID 6006（备用）：“事件日志服务已停止。” 这是系统关闭的同义词。
事件 ID 6008（备用）：“上次系统关闭意外。” 记录系统未正常关闭后启动。
事件 ID 6009（备用）：指示在启动时检测到的 Windows 产品名称、版本、内部版本号、Service Pack 编号和操作系统类型。
事件 ID 6013：显示计算机的正常运行时间。此 ID 没有 TechNet 页面。

从我的 OP 中列出的服务器故障答案中添加更多内容：

事件 ID 1074（备用）：“由于以下原因，进程 X 代表用户 Y 启动了计算机的重新启动/关闭：Z。” 表示应用程序或用户启动了重新启动或关闭。
事件 ID 1076（备用）：“用户 X 提供的此计算机上次意外关闭的原因是：Y。” 记录在意外重新启动或关机后第一个具有关机权限的用户登录到计算机的时间，并提供发生的原因。

我错过了吗？

要区分由于错误检查导致的断电和重启，请查找事件 ID 41（来源：Microsoft-Windows-Kernel-Power）和事件 ID 1001 的组合：（来源：BugCheck）。前者没有后者表示断电或复位。 (6认同)
这很有帮助。谢谢约翰C。在“过滤当前日志”窗口的“包含/排除”事件 ID 的输入字段中，我输入了“6005、6006、6008、6009、6013、1074、1076”，它正是我需要的。 (4认同)
您可能应该添加 [`Kernel-General` with eventid `12`](http://www.eventid.net/display-eventid-12-source-Microsoft-Windows-Kernel-General-eventno-11542-phase-1 .htm)，这通常是重启/重置等后要记录的第一个 eventid，并显示实际的“系统启动时间”，即：_“操作系统在系统时间启动 2017 - 09 - 19T02 :46:06.582794900Z。"_ (3认同)
这是一个 PowerShell“单行”：Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap (3认同)

Answer 2

ocr*_*tte 13

将@user10082评论变成答案。建议的解决方案是单行的，如 Powershell 脚本：

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize –wrap

Run Code Online (Sandbox Code Playgroud)

这是输出：

TimeGenerated         EventID Message
-------------         ------- -------
5/30/2021 11:23:16 AM    6005 The Event log service was started.
5/30/2021 11:23:16 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/30/2021 11:23:16 AM    6008 The previous system shutdown at 18:35:45 on ?24/?05/?2021 was unexpected.
5/24/2021 11:55:45 AM    6005 The Event log service was started.
5/24/2021 11:55:45 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/24/2021 11:55:31 AM    6006 The Event log service was stopped.
5/24/2021 11:55:27 AM    1074 The process C:\Windows\system32\SystemSettingsAdminFlows.exe (DESKTOP) has
                              initiated the restart of computer DESKTOP on behalf of user DESKTOP\User
                              for the following reason: Other (Unplanned)
                               Reason Code: 0x0
                               Shutdown Type: restart
                               Comment:

Run Code Online (Sandbox Code Playgroud)

这非常有帮助。值得更多选票 (2认同)

归档时间：	10 年，5 月前
查看次数：	556010 次
最近记录：	4 年，3 月前