Início / server / Perguntas / 702828
Accepted
JohnC
Asked: 2015-07-02 05:19:54 +0800 CST

Histórico de reinicialização/desligamento do Windows Server

  • 772

Como posso ver facilmente um histórico de todas as vezes que meu Windows Server foi reiniciado ou desligado e o motivo, incluindo iniciado pelo usuário, iniciado pelo sistema e travado no sistema?

O log de eventos do Windows é uma resposta óbvia, mas qual é a lista completa de eventos que devo visualizar?

Encontrei estes posts que respondem parcialmente à minha pergunta:

mas eles não cobrem todos os cenários AFAIK e as informações são difíceis de entender porque estão espalhadas por várias respostas.

Eu tenho várias versões do Windows Server, então uma solução que funcione para pelo menos as versões 2008, 2008 R2, 2012 e 2012 R2 seria ideal.

windows-server-2008

6 respostas

  1. Best Answer

    A resposta mais clara e sucinta que encontrei é:

    que lista esses IDs de evento para monitorar (citado, mas editado e reformatado do artigo):

    • ID do evento 6005 ( alternativo ): “O serviço de log de eventos foi iniciado.” Isso é sinônimo de inicialização do sistema.
    • ID do evento 6006 ( alternativo ): “O serviço de log de eventos foi interrompido.” Isso é sinônimo de desligamento do sistema.
    • Identificação do evento 6008 ( alternativo ): "O desligamento anterior do sistema foi inesperado." Registra que o sistema foi iniciado depois que não foi desligado corretamente.
    • ID do evento 6009 ( alternativo ): indica o nome do produto Windows, versão, número da compilação, número do service pack e tipo de sistema operacional detectado no momento da inicialização.
    • ID do evento 6013: exibe o tempo de atividade do computador. Não há página TechNet para este id.

    Adicione a isso mais algumas das respostas de falha do servidor listadas no meu OP:

    • ID do evento 1074 ( alternativo ): "O processo X iniciou a reinicialização/desligamento do computador em nome do usuário Y pelo seguinte motivo: Z." Indica que um aplicativo ou usuário iniciou uma reinicialização ou desligamento.
    • Identificação do evento 1076 ( alternativo ): "O motivo fornecido pelo usuário X para o último desligamento inesperado deste computador é: Y." Registra quando o primeiro usuário com privilégios de desligamento faz logon no computador após uma reinicialização ou desligamento inesperado e fornece um motivo para a ocorrência.

    Eu perdi algum?

    • 127

  2. Transformando o comentário @user10082 em uma resposta. A solução proposta é um one-liner, como script Powershell:

    Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize –wrap

    Aqui está a saída:

    TimeGenerated         EventID Message
-------------         ------- -------
5/30/2021 11:23:16 AM    6005 The Event log service was started.
5/30/2021 11:23:16 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/30/2021 11:23:16 AM    6008 The previous system shutdown at 18:35:45 on ‎24/‎05/‎2021 was unexpected.
5/24/2021 11:55:45 AM    6005 The Event log service was started.
5/24/2021 11:55:45 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/24/2021 11:55:31 AM    6006 The Event log service was stopped.
5/24/2021 11:55:27 AM    1074 The process C:\Windows\system32\SystemSettingsAdminFlows.exe (DESKTOP) has
                              initiated the restart of computer DESKTOP on behalf of user DESKTOP\User
                              for the following reason: Other (Unplanned)
                               Reason Code: 0x0
                               Shutdown Type: restart
                               Comment:
    • 16

  3. Eu simplesmente deixaria isso como um comentário, já que JohnC cobriu basicamente tudo, mas ainda não tenho permissão para fazê-lo.

    Os eventos que ele descreveu foram usados ​​por um bom tempo, então eles funcionarão para qualquer um dos sistemas operacionais que você mencionou, bem como para seus irmãos de desktop. As páginas de ID de evento às quais ele vinculou, como a de 6006 no TechNet, mencionam o Windows Server 2003.

    Se houve um desligamento elegante, iniciado pelo usuário ou não, você também deverá ver algum ID de evento 7036 informando que vários serviços "entrou no estado parado". À medida que a máquina inicia novamente, você verá mais 7036s anunciando que os serviços estão entrando no estado de execução.

    • 4

  4. Prefiro realizar atividades a partir da linha de comando. Aqui está o início de um trecho que você pode aproveitar. Isso mostra os 30.000 registros do sistema mais recentes e retorna as reinicializações nesses registros.

    Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}
    • 4

  5. Com base na resposta do @JohnC e estendendo-a

    Você pode usar um filtro XML como:

    <QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

    Você pode substituir 172800000 pelos valores abaixo para o intervalo de tempo:

    86400000 - Últimas 24 horas

    172800000 - Últimos 2 dias

    604800000 - Últimos 7 dias

    Isso mostrará muito mais detalhes a partir do momento em que o servidor/pc ficou offline. Inclui eventos Kernel-Power, User32 e EventLog.

    • 4

  6. Um liner curto e conciso para obter o tempo de reinicialização e inicialização das últimas 8 horas de uma máquina remota usando SysInternals pslogliste os IDs de evento acima:

    psloglist \\computername -h 8 -i 41,1074,1076,6005,6006,6008,6013

    A única coisa que falta (para mim) é o ID do evento para o equivalente a "caixa de diálogo de logon pronta para o usuário". Isso parece difícil de encontrar ( O que posso consultar para ver se o Windows foi inicializado e concluído com atualizações? )

    • 0

relate perguntas