Как посмотреть логи почему выключился компьютер

Описание средства отслеживания событий завершения работы

В этой статье описывается отслеживание событий завершения работы.

Область действия: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 293814

Аннотация

Средство отслеживания событий завершения работы — это компонент Microsoft Windows Server 2003 и Microsoft Windows XP, который можно использовать для согласованного отслеживания причины отключения системы. Затем эти сведения можно использовать для анализа завершения работы и для более полного понимания системной среды. Отслеживание событий завершения работы регистрирует события, аналогичные следующим в системном журнале событий:

Дополнительные сведения

Windows Server 2003 и Windows XP 64-разрядная версия 2003 По умолчанию отслеживание событий завершения работы включено для всех операционных систем Windows Server 2003 и Windows XP 64-разрядной версии 2003. Чтобы отключить отслеживание событий завершения работы во всех операционных системах Windows Server 2003 и Windows XP 64-разрядной версии 2003, отключите политику отслеживания событий завершения работы с помощью групповая политика. Чтобы сделать это с помощью локального групповая политика, выполните следующие действия:
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и нажмите кнопку «ОК».
3. Разверните конфигурацию компьютера, разверните административные шаблоны, а затем — «Система».
4. Дважды щелкните «Отобразить отслеживание событий завершения работы».
5. Выберите «Отключено«, а затем нажмите кнопку «ОК».
Windows XP Professional По умолчанию средство отслеживания событий завершения работы отключено в Windows XP Professional. Чтобы включить отслеживание событий завершения работы в Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center Edition, включите политику отслеживания событий завершения работы с помощью групповая политика. Чтобы сделать это с помощью локального групповая политика, выполните следующие действия:
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и нажмите кнопку «ОК».
3. Разверните конфигурацию компьютера, разверните административные шаблоны, а затем — «Система».
4. Дважды щелкните «Отобразить отслеживание событий завершения работы».
5. Щелкните Включено.
6. В средстве отслеживания событий завершения работы должно отобразиться поле , выберите «Всегда», а затем нажмите кнопку «ОК».

Средство отслеживания событий завершения работы не является функциональным компонентом в Windows XP Home Edition. Поэтому вы не можете использовать средство отслеживания событий завершения работы в Windows XP Home Edition.

Корпорация Майкрософт рекомендует не использовать средство отслеживания событий завершения работы в Windows XP Professional, планшетном ПК с Windows XP или Windows XP Media Center Edition. Корпорация Майкрософт не поддерживает использование этого компонента в этих средах Windows XP.

Пользовательские параметры для определения причины завершения работы

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье о резервном копировании и восстановлении реестра в Windows.

Windows предоставляет список из восьми универсальных причин, по которым компьютер был выключен. Этот список можно изменить, включив в него собственные настраиваемые причины. Чтобы добавить собственные причины, выполните следующие действия.

Откройте редактор реестра.
Найдите и выберите следующий раздел реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Reliability\UserDefined
В меню «Правка » выберите «Создать«, а затем — » Многостроковое значение». При этом создается новый ключ с временным именем «Новое значение».
Введите имя раздела реестра в следующем формате и нажмите клавишу ВВОД: UI_control_flags; major_reason_number; minor_reason_number
Раздел UI_control_flags имени значения может содержать одно или несколько из следующих значений:
- P (указывает, что причина запланирована. Если это значение опущено, значение по умолчанию является незапланированной.)
- C или B (указывает, что комментарий является обязательным).)
- S (указывает, что причина должна отображаться в диалоговом окне завершения работы, инициированном пользователем.)
- D (указывает, что причина должна отображаться в диалоговом окне внезапного завершения работы.) Например, если требуется отобразить причину в диалоговом окне внезапного завершения работы, завершение работы будет незапланированной, а завершение работы соответствует основной причине 2 и дополнительной причине 2, введите следующее имя значения: D;2;2
Дважды щелкните новый ключ и определите данные значения в следующем формате:

Название
Описание

Примечания

Вы можете указать S и Dдля UI_control_flags, но необходимо указать хотя бы один из них, чтобы параметры были допустимыми.
Если раздел UI_control_flags содержит символы, отличные от символов, перечисленных в разделе «Настраиваемые параметры для идентификации причины завершения работы», или если размер раздела UI_control_flags превышает пять символов, сообщение не является допустимым и не отображается в пользовательском интерфейсе. Можно указать, что символы отображаются в любом порядке.
Значение major_reason_number является числом от 0 до 255. Если этот раздел остается пустым, если он содержит число, которое не находится в допустимом диапазоне, или если он содержит число, которое не является целым числом, сообщение не является допустимым и не отображается в пользовательском интерфейсе.
Значение minor_reason_number — это число от 0 до 65 536. Если этот раздел остается пустым, если он содержит число, которое не находится в допустимом диапазоне, или если он содержит число, которое не является целым числом, сообщение не является допустимым и не отображается в пользовательском интерфейсе.
Пользовательские причины сортируются в пользовательском интерфейсе по двум ключам в следующем порядке: MajorReasonNumber, MinorReasonNumber.
Максимальная длина заголовка составляет 64 символа, а максимальная длина описания — 96 символов.
Если в следующем разделе реестра задано любое ненулевое значение и вы правильно определили хотя бы одну пользовательскую причину, стандартные причины Windows не отображаются в диалоговом окне «Завершение работы Windows «: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\ShutdownIgnorePredefinedReasons

Обратная связь

Были ли сведения на этой странице полезными?

Как узнать, кто перезагрузил (выключил) сервер Windows?

date

16.11.2022

user

itpro

directory

PowerShell, Windows 10, Windows Server 2019

comments

комментариев 5

Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.

Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.

System

Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log; фильтр журнала событий windows

В поле фильтра укажите EventID 1074 и нажмите OK; событие 1074 кто перезагрузил или выключил windows

В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;

В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a.novak. определить пользователя, который перезагрузил windows

определить пользователя, который перезагрузил windows

The process C:\Windows\Explorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPRO\a.novak for the following reason: Other (Unplanned) Reason Code: 0x5000000 Shutdown Type: restart Comment:

Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITY\SYSTEM.

Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы wuauserv , который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.

The process C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned) Reason Code: 0x80020010 Shutdown Type: restart Comment:

Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:

The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown Reason Code: 0x80070000 Shutdown Type: shutdown

В этом случае выключение Windows также инициировано NT AUTHORITY\SYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.

Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:

Get-WinEvent -FilterHashtable @|ft TimeCreated,Id,Message

Команда вернула описания всех событий перезагрузки и выключения Windows.

powershell - Get-EventLog событие 1074

Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.

Get-EventLog -LogName System |
where |select-object -first 10 |
ForEach-Object $rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode

if ($_.ReplacementStrings[4]) <
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
>
> | Select-Object Date, Action, Reason, User, Process |ft

скрипт powershell - кто перезагрузил windows

Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:

Invoke-Command -ComputerName rds2-12 -ScriptBlock |select-object TimeCreated,Id,Message -first 1>

кто перезагрузил удаленный компьютер

По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.

The previous system shutdown at 4:34:49 AM on ‎1/‎17/‎2022 was unexpected.

EventID 6008 The previous system shutdown was unexpected.

И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).

Предыдущая статья Следующая статья

Как посмотреть логи shutdown и restart в Windows Server

Средство просмотра событий Windows обрабатывается основной службой журнала событий. Средство просмотра событий регистрирует историю запуска и завершения работы сервера. Так же она отслеживает действия каждого пользователя во время работы устройства. Записывает ошибки, и другие сообщения и предупреждения которые возникают на Windows Server.

В этой статье мы узнаем, как проверить журналы выключения/перезагрузки на VPS серверах Windows 2012, 2016 и 2019.

Рассмотрим некоторые наиболее распространенные коды связанные со временем запуска и завершения работы сервера.

41: показывает, что ваш сервер перезагрузился, но не выключился полностью.
6005: показывает, что служба журнала событий была запущена.
1074: это событие показывает, когда приложение принудительно выключает или перезагружает ваш VPS сервер. Благодаря этому можно узнать, когда вы, или кто-то другой перезапустил или выключил сервер из меню «Пуск» или через CTRL+ALT+DEL.
6008: это событие появляется если ваш компьютер был выключен, или ушел в перезагрузку, через синий экран смерти.
6006: это событие показывает когда сервер корректно завершил свою работу.

Как просмотреть данные события?

Нажмите Win + R и введите eventvwr

Как посмотреть логи shutdown и restart в Windows Server - 1

В левой части панели откройте «Журналы Windows => Система»

Как посмотреть логи shutdown и restart в Windows Server - 2

В колонке Event ID мы увидим список событий, произошедших во время работы Windows. Журнал событий можно сортировать по идентификатору события.

Для того что бы отсортировать нужные намо события, с правой стороны, выберем «Фильтр текущего журнала»

Как посмотреть логи shutdown и restart в Windows Server - 3

Теперь введите нужные нам события, через запятую, 41, 1074, 6006, 6008, 6006 и нажмите Ок.

Как посмотреть логи shutdown и restart в Windows Server - 4

Теперь мы можем наблюдать журнал событий с завершением работы нашего сервера VPS.

Так же мы можем просмотреть журнал событий безотказной работы сервера. Этому соответствует идентификатор 6013.

Как посмотреть логи shutdown и restart в Windows Server - 5

Просмотр журнала выключения и перезапуска сервера с помощью PowerShell

Если нам нужно быстро просмотреть журналы выключения/перезагрузки сервера, можно воспользоваться коммандой Get-EventLog в оболочке PowerShell.

Что бы отфильтровать последнюю 1000 записей в журнале, и отобразить только те события которые нам нужны, (41, 1074, 6006, 6008, 6006) выполним эту команду в PowerShell:

Get-EventLog System -Newest 1000 | ` Where EventId -in 41,1074,6006,6008 | ` Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

Теперь вы можете самостоятельно проверить по какой причине был перезагружен/выключен ваш севрер.

Как найти журнал завершения работы в Windows 10

Windows отслеживает процесс завершения работы и записывает все происходящие в этом момент события в системный журнал. В сегодняшней статье мы рассмотрим как найти журнал завершения работы в Windows 10.

В Windows есть три события связанные с выключением компьютера или его перезагрузкой:

событие 6008 – неправильное завершение работы. Данное событие появляется в журнале если ваш компьютер был резко отключен, может свет пропал или на экране появился синий экран и компьютер ушел в перезагрузку.
событие 6006 – компьютер правильно завершил свою работу.
событие 1074 – процесс завершения был инициирован приложением. К примеру, Windows установила обновления и в процессе их установки нужно было перезагрузить компьютер.

Найти журнал завершение работы

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr.msc и нажмите клавишу Enter.

2. В левой колонке выберите “Журналы Windows” => “Система” => с правой стороны выберите “Фильтр текущего журнала”.

3. В строку ниже “Включение или исключение кодов событий” введите 1074, 6006, 6008 и нажмите “ОК”.

Перед вами журнал показывающий только события связанные с завершением работы компьютера.

На сегодня всё, если вы знаете другие способы – пишите в комментариях! Счастья Вам ��

Разнорабочий в области IT. Занимается поддержкой пользователей, сопровождением программного обеспечения.