Windows Server 重启/关机历史

我能找到的最清晰最简洁的答案是：

• 如何在 Windows 中查看 PC 启动和关闭历史记录

其中列出了要监视的这些事件 ID（引用但从文章中编辑和重新格式化）：

• 事件 ID 6005（备用）：“事件日志服务已启动。” 这是系统启动的同义词。
• 事件 ID 6006（备用）：“事件日志服务已停止。” 这是系统关闭的同义词。
• 事件 ID 6008（备用）：“上一次系统关闭是意外的。” 系统未正常关闭后启动的记录。
• 事件 ID 6009（备用）：指示在启动时检测到的 Windows 产品名称、版本、内部版本号、服务包号和操作系统类型。
• 事件 ID 6013：显示计算机的正常运行时间。此 ID 没有 TechNet 页面。

从我的 OP 中列出的服务器故障答案中添加更多内容：

• 事件 ID 1074（备用）：“进程 X 已代表用户 Y 启动重新启动/关闭计算机，原因如下：Z。” 表示应用程序或用户启动了重新启动或关闭。
• 事件 ID 1076（备用）：“用户 X 提供的上次意外关闭此计算机的原因是：Y。” 记录第一个具有关机权限的用户在意外重新启动或关机后登录计算机的时间，并提供发生的原因。

我错过了吗？

将@user10082评论变成答案。建议的解决方案是单行的，如 Powershell 脚本：

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize –wrap

这是输出：

TimeGenerated         EventID Message
-------------         ------- -------
5/30/2021 11:23:16 AM    6005 The Event log service was started.
5/30/2021 11:23:16 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/30/2021 11:23:16 AM    6008 The previous system shutdown at 18:35:45 on ‎24/‎05/‎2021 was unexpected.
5/24/2021 11:55:45 AM    6005 The Event log service was started.
5/24/2021 11:55:45 AM    6009 Microsoft (R) Windows (R) 10.00. 19042  Multiprocessor Free.
5/24/2021 11:55:31 AM    6006 The Event log service was stopped.
5/24/2021 11:55:27 AM    1074 The process C:\Windows\system32\SystemSettingsAdminFlows.exe (DESKTOP) has
                              initiated the restart of computer DESKTOP on behalf of user DESKTOP\User
                              for the following reason: Other (Unplanned)
                               Reason Code: 0x0
                               Shutdown Type: restart
                               Comment:

我只是将其作为评论留下，因为 JohnC 基本上涵盖了所有内容，但我还不允许这样做。

他描述的事件已经使用了很长一段时间，因此它们适用于您提到的任何操作系统，以及它们的桌面兄弟。他链接到的事件 ID 页面，例如 TechNet 上的6006页面，提到了 Windows Server 2003。

如果出现优雅关闭、用户启动或其他情况，您还应该看到一些事件 ID 7036告诉您各种服务“进入停止状态”。随着机器再次启动，您将看到更多的 7036 通知服务正在进入运行状态。

我更喜欢从命令行完成活动。这是您可以利用的片段的开头。这将显示最近的 30,000 条系统记录并返回这些记录中的重新启动。

Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}

以@JohnC的回答为基础并对其进行扩展

您可以使用 XML 过滤器，例如：

<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

您可以将 172800000 替换为以下时间范围的值：

86400000 - 过去 24 小时

172800000 - 过去 2 天

604800000 - 过去 7 天

这将显示服务器/PC 离线时的更多详细信息。它包括 Kernel-Power、User32 和 EventLog 事件。

psloglist使用 SysInternals和上面的事件 id 从远程机器获取最近 8 小时的重新启动和启动时间的简明一行：

psloglist \\computername -h 8 -i 41,1074,1076,6005,6006,6008,6013

唯一缺少的（对我来说）是“登录对话框准备好用户”等效的事件ID。这似乎很难找到（我可以查询什么以查看 Windows 是否已启动并完成更新？）