30 марта 2019
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
| Event ID | Описание |
|---|---|
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
| 6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
- Нажмите клавишу Win, наберите eventvwr и запустите Просмотр событий
- В панели слева разверните Журналы Windows и перейдите в Система
- Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала...
- Введите следующие коды в поле <Все коды событий> и нажмите OK:41,1074,1076,6005,6006,6008,6009,6013
Логи Выключений в PowerShell
Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды
Например, чтобы отфильтровать
|
Get-EventLog System -Newest 10000 | Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap |
Опубликовано 30.03.2019 от evgeniyalf в категории «Windows
Windows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.
В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.
Просмотр событий Windows
Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
- В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
- Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце).
- Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее).
События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.
Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:
- 41 — перезагрузка или выключение без правильного завершения работы.
- 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
- 6008 — при неправильном выключении компьютера.
Получение информации в командной строке и PowerShell
Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.
В первом случае: запустите командную строку от имени администратора, а затем используйте команду
wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1
Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить. 
В PowerShell от имени администратора можно использовать следующую команду:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем. 
Бесплатная утилита TurnedOnTimesView
Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.
Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:
- Дата и время включения (Startup Time)
- Дата и время выключения (Shutdown Time)
- Продолжительность работы (Duration)
- Причина выключения
- Тип выключения
И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.
Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:
Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.
Известно, что выключать компьютер могут не только пользователи. Инициировать завершение работы Windows способны также встроенные и сторонние приложения, ещё система может завершить работу аварийно вследствие разных ошибок. А теперь представьте себе такую ситуацию. Уходя из дома, вы оставили свой компьютер включенным, а вернувшись, нашли его выключенным. Возможно, вы захотите узнать, что же стало причиной выключения компьютера.
Как узнать, что стало причиной аварийного завершения работы Windows 10
Так вот, сделать это очень просто. В Windows 7, 8.1 и 10 все события, связанные с завершением работы или перезагрузкой, записываются в системный журнал. Каждое событие имеет соответствующий код. Событие с кодом 1074 указывает, что завершение работы системы было инициировано приложением, например, таймером или Центром обновления Windows. Если событие имеет код 6006, работа Windows была завершена пользователем в обычном режиме. Если же событие обозначено кодом 6008, причиной завершения работы Windows стала ошибка или внезапное отключение электропитания. Получить доступ ко всем этим данным нетрудно. Откройте командой eventvwr.msc
встроенный Журнал событий, в левой колонке выберите Журналы Windows → Система, а справа нажмите ссылку «Фильтр текущего журнала».
В открывшемся окне в поле включения или исключение кодов событий введите через запятую числа 1074, 6006, 6008 и нажмите OK.
Окно закроется, и записи в центральной колонке главного окна будут отфильтрованы согласно заданным параметрам.
Теперь вы можете просматривать интересующие вас события, кликая по ним мышкой, также журнал предоставляет возможность сохранения выбранных событий в текстовый лог формата XML, CSV или ТXТ для последующего изучения в автономном режиме.
Ключевые слова:
#
Узнаем когда включали и выключали компьютер в Windows 10 или Windows 7
Иногда возникают ситуации, когда необходимо узнать кто включал компьютер в отсутствии вас. Например: часто родители хотят уточнить, пользовался ли ребенок компьютером пока находился дома один. И сегодня «Компьютерные хитрости» расскажет как узнать время и дату включения или выключения компьютера.
В операционной системе Windows записываются все включения и выключения компьютера и для того чтобы узнать, нам нужно зайти в журнал событий. Для этого в Windows 10 кликаем меню правой кнопкой мыши и выбираем «Просмотр событий»
Далее в открывшемся окне в левой колонке выбираем «Журналы Windows» и в подпункте переходим в «Система».
И в центральном окошке видим все происходящие действия вашей системы. Ищем включение и выключение компьютера в таблице. В моем случае видно, что компьютер был выключен 24.04.2018 и точное время 16:04:07, а также строчкой выше видно точную дату и время включения ПК.
Мы рассмотрели как в Windows 10 узнать дату и время включения или отключение компьютера.
Чтобы узнать включение и отключение Пк на Windows 7 нам нужно открыть «Панель управления» далее выбрать «Администрирование» и здесь переходим в «Просмотр событий», далее все также как мы описывали на Windows 10.
Как включить отслеживание причины завершения работы в Windows 10
В Windows Server есть хорошая функция отслеживания причины завершения работы или перезагрузки. Для тех, кто не сталкивался — при попытке выключить компьютер система спросит вас, зачем вы хотите это сделать. В некоторых случаях эту возможность необходимо активировать и в Windows 10. Например, если важен длительный аптайм и вы не хотите, чтобы какая-то программа или сама операционная система без спроса инициировали перезагрузку компьютера.
Как включить отслеживание причины завершения работы в Windows 10
В Windows 10 такая функция называется Trackdown Event Tracker. Для её запуска придётся влезть в редактор локальных групповых политик.
1. Нажмите Win+R.
2. Наберите gpedit.msc. Откроется редактор локальных групповых политик.
3. Конфигурация компьютера > Административные шаблоны > Система.
4. В правой колонке пролистайте вниз и найдите настройку Отображать средство регистрации событий завершения работы. Откройте её для изменения двойным щелчком или через контекстное меню.
5. Выберите Включено и значение параметра отображения — Всегда.
6. Нажмите ОК и попробуйте перезагрузить компьютер. Теперь вам потребуется объяснить системе, зачем вы это хотите сделать.
Спасибо, что читаете! На данный момент большинство моих заметок, статей и подборок выходит в telegram канале «Левашов». Обязательно подписывайтесь, чтобы не пропустить новости мира ИТ, полезные инструкции и нужные сервисы.
Респект за пост! Спасибо за работу!
Хотите больше постов в блоге? Подборок софта и сервисов, а также обзоры на гаджеты? Сейчас, чтобы писать регулярно и радовать вас большими обзорами, мне требуется помощь. Чтобы поддерживать сайт на регулярной основе, вы можете оформить подписку на российском сервисе Boosty. Или воспользоваться ЮMoney (бывшие Яндекс Деньги) для разовой поддержки:
Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.