Журнал событий windows 10 выключение компьютера

30 марта 2019

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID Описание
41 Система была перезагружена без корректного завершения работы.
1074 Система была корректного выключена пользователем или процессом.
1076 Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005 Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006 Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008 Предыдущее выключение системы было неожиданным.
6009 Версия операционной системы, зафиксированная при загрузке системы.
6013 Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

  1. Нажмите клавишу  Win, наберите  eventvwr и запустите  Просмотр событий
  2. В панели слева разверните  Журналы Windows и перейдите в  Система
  3. Щелкните правой кнопкой мыши на  Система и выберите  Фильтр текущего журнала...
  4. Введите следующие коды в поле  <Все коды событий> и нажмите  OK:41,1074,1076,6005,6006,6008,6009,6013

Логи Выключений в PowerShell

Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды 

Например, чтобы отфильтровать 

Get-EventLog System -Newest 10000 |

Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 |

Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

Опубликовано 30.03.2019 от evgeniyalf в категории «Windows

Источник

While troubleshooting an issue that causes an unexpected reboot or shutdown of a Windows machine, it is important to know which event IDs are related to system reboot/shutdown and how to find the appropriate logs.

In this note i am publishing all the event IDs related to reboots/shutdowns.

I am also showing how to display the shutdown events with date and time, using a Windows Event Viewer or from the command-line using a PowerShell.

Cool Tip: How to boot Windows in Safe Mode! Read more →

The list of the Windows event IDs, related to the system shutdown/reboot:

Event ID Description
41 The system has rebooted without cleanly shutting down first.
1074 The system has been shutdown properly by a user or process.
1076 Follows after Event ID 6008 and means that the first user with shutdown privileges logged on to the server after an unexpected restart or shutdown and specified the cause.
6005 The Event Log service was started. Indicates the system startup.
6006 The Event Log service was stopped. Indicates the proper system shutdown.
6008 The previous system shutdown was unexpected.
6009 The operating system version detected at the system startup.
6013 The system uptime in seconds.

Display Shutdown Logs in Event Viewer

The shutdown events with date and time can be shown using the Windows Event Viewer.

Start the Event Viewer and search for events related to the system shutdowns:

  1. Press the ⊞ Win keybutton, search for the eventvwr and start the Event Viewer
  2. Expand Windows Logs on the left panel and go to System
  3. Right-click on System and select Filter Current Log...
  4. Type the following IDs in the <All Event IDs> field and click OK: 
    41,1074,1076,6005,6006,6008,6009,6013

Cool Tip: Get history of previously executed commands in PowerShell! Read more →

Find Shutdown Logs using PowerShell

The shutdown/reboot logs in Windows can also be retrieved from the command-line using the PowerShell’s Get-EventLog command.

For example, to filter the 10000 most recent entries in the System Event Log and display only events related to the Windows shutdowns, run:

PS C:\> Get-EventLog System -Newest 10000 | `
        Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | `
        Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

Cool Tip: Start/Stop a service in Windows from the CMD & PowerShell! Read more →

Was it useful? Share this post with the world!

Источник

Как посмотреть когда включался и выключался компьютерWindows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.

В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.

Просмотр событий Windows

Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:

  1. Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
  2. В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
  3. Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце). Фильтр по событиям 6005 и 6006 в просмотре событий
  4. Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее). Время включения и выключения компьютера в Просмотре событий

События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.

Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:

  • 41 — перезагрузка или выключение без правильного завершения работы.
  • 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
  • 6008 — при неправильном выключении компьютера.

Получение информации в командной строке и PowerShell

Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.

В первом случае: запустите командную строку от имени администратора, а затем используйте команду

wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1

Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить. Посмотреть время включения и выключения компьютера в командной строке

В PowerShell от имени администратора можно использовать следующую команду:

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем. Время включения и выключения компьютера в PowerShell

Бесплатная утилита TurnedOnTimesView

Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.

Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:

Программа TurnedOnTimesView

  • Дата и время включения (Startup Time)
  • Дата и время выключения (Shutdown Time)
  • Продолжительность работы (Duration)
  • Причина выключения
  • Тип выключения

И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.

Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:

Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.

Источник

Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.

Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.

  1. Откройте консоль Event Viewer (
    eventvwr.msc
    ) и перейдите в раздел Windows Logs -> System;
  2. Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log; фильтр журнала событий windows
  3. В поле фильтра укажите EventID 1074 и нажмите OK; событие 1074 кто перезагрузил или выключил windows
  4. В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;
  5. В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a.novak. определить пользователя, который перезагрузил windows
The process C:\Windows\Explorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPRO\a.novak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:

Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITY\SYSTEM.

Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы
wuauserv
, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.

The process C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:

Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:

The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown

В этом случае выключение Windows также инициировано NT AUTHORITY\SYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.

Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:

Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message

Команда вернула описания всех событий перезагрузки и выключения Windows.

powershell - Get-EventLog событие 1074

Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode

if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

скрипт powershell - кто перезагрузил windows

Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:

Invoke-Command -ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}

кто перезагрузил удаленный компьютер

По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.

The previous system shutdown at 4:34:49 AM on ‎1/‎17/‎2022 was unexpected.

EventID 6008 The previous system shutdown was unexpected.

И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).

Источник

На чтение 2 мин Просмотров 67 Опубликовано

Если вам интересно узнать, почему ваш компьютер выключился и что именно произошло во время выключения, вы будете рады узнать, что Windows может отслеживать процесс выключения и записывать ряд событий в систему. бревно. В этой статье мы увидим, как их найти.

Поскольку ОС использует формат журнала по умолчанию, все события, связанные с выключением, можно просмотреть с помощью встроенного -в средстве просмотра событий. Никаких других сторонних инструментов не требуется.

В Windows 10 есть три события, связанных с выключением и перезапуском.

Событие с кодом 1074 – Указывает, что процесс выключения был инициирован приложением. Например, это может быть Центр обновления Windows.

Идентификатор события 6006 – событие чистого завершения работы. Это означает, что Windows 10 была выключена правильно.

Идентификатор события 6008 – указывает на грязное/неправильное завершение работы. Появляется в журнале, когда предыдущее выключение было неожиданным, например. из-за потери питания или BSoD (проверка ошибок).

Вот как найти эти события.

Чтобы найти журнал завершения работы в Windows 10 , сделайте следующее.

  1. Нажмите вместе клавиши Win + R на с клавиатуры, чтобы открыть диалоговое окно “Выполнить”, введите eventvwr.msc и нажмите клавишу Enter.
  2. В средстве просмотра событий выберите Журналы Windows -> Система слева.
  3. Справа щелкните ссылку Фильтровать текущий журнал .
  4. В следующем диалоговом окне введите строку 1074, 6006, 6008 в текстовое поле в разделе Включает/исключает идентификаторы событий .
  5. Нажмите OK, чтобы отфильтровать журнал событий.

Теперь в средстве просмотра событий будут отображаться только события, связанные с выключением.

Примечание. Начиная с Windows 10 Fall Creators Update, операционная система возможность автоматически повторно открывать приложения, которые работали до выключения или перезапуска. Такое поведение является совершенно неожиданным для большинства пользователей Windows, которые обновились до последней версии ОС. Чтобы избежать этой проблемы, вы можете добавить на рабочий стол специальное контекстное меню «Завершение работы», которое восстанавливает классическое поведение.

См. Следующую статью:

Добавить выключение Контекстное меню в Windows 10

Источник

  • Жутко тормозит компьютер с windows 10
  • Журнал событий windows 10 cmd
  • За что отвечает windows search
  • Журнал приложений windows 10 как удалить
  • Журналы приложений и служб windows 10