Перегляньте журнали відстеження подій Shutdown у Windows Server 2008 R2

39

Я намагаюся переглянути журнали відстеження подій вимкнення в засобі перегляду подій на Windows Server 2008 r8, але я не можу знайти повідомлення, яке я постачав при попередньому перезапуску сервера.

Де в переглядачі подій я можу побачити ці журнали?

windows-server-2008-r2 eventviewer

— укладальник
джерело

57

Відкрити переглядач подій. Розгорніть журнали Windows. Клацніть систему, а потім знайдіть або відфільтруйте ідентифікатор події 1074. І ви побачите всі ваші журнали закриття.

— Яків
джерело

дякую, це дуже зручно. Windows не дозволяє легко орієнтуватися в журналах, не знаючи, що ви шукаєте

— Гордон Карпентер-Томпсон,

16

Вам також потрібно включити 1076 (Незаплановане вимкнення) та фільтрувати джерело user32

8

Також подія 6008 "Несподіване відключення" може бути цікавою ...

— Ненотлеп,

@Jacob, як отримати список ідентифікаторів подій та що вони представляють?

— Pacerier

1

@Pacerier Удачі в цьому .... але ось початок: eventid.net

— leeand00

12

Я знаю, це дуже старе питання. Але це може допомогти тому, хто шукає те саме рішення. ви можете використовувати один рядок у powershell (який доступний у всіх ОС пізніше, ніж win 2003), щоб дізнатися історію перезавантаження. Просто відкрийте powershell.exe із запиту запуску та введіть команду нижче.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

— гбабу
джерело

9

Якщо ви або інші намагаєтеся знайти самий останній час завантаження, найпростіший спосіб, який я знайшов, - це запустити це в cmd:

systeminfo | find "System Boot Time"

З powercram.com

— Бред
джерело

Якщо ви нічого не бачите, просто видаліть знахідку. У мене не було цієї інформації там, але у мене був "Час роботи системи".

— Ненотлеп

@Nenotlep, Найкраще просто зробити без урахування регістру пошуку: systeminfo | find /i "system" | find /i "time". Працює на всіх системах

— Pacerier

2

Ще один корисний підхід, який я знайшов, оскільки ми часто відстежуємо наявність відключень на наших провайдерах, що розміщуються на ISP, - це створити спеціальний вид подій таким чином:

Відкрийте переглядач подій

Клацніть правою кнопкою миші Спеціальні представлення
Клацніть Створити спеціальний перегляд
На вкладці Фільтр
- Вести журнал як будь-коли
- Виберіть усі типи рівня події (критичні, попередження тощо)
- Виберіть джерело = Журнали Windows> Система
- Для ідентифікатора події у розділі Включає / Виключає ідентифікатори події введіть 1074 для ідентифікатора події
Натисніть Ок
Введіть назву на зразок Події вимкнення та будь-який опис
Натисніть кнопку Ок ще раз, щоб завершити користувацький журнал подій

Ваш новий спеціальний перегляд повинен відображатися у списку спеціальних представлень даних із застосованим правильним фільтром.

— Жак
джерело

1

На основі інших відповідей я змінив цей крок для своїх поглядів:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID

— Jeroen Wiert Pluimers

1

Трохи більш чистий одношаровий Powershell, який я використовую для фільтрації подій, пов'язаних із відключенням:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Щоб обмежити це лише найкориснішими властивостями:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Крім того, для пошуку за текстом повідомлення:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

— Аміт Найду
джерело

0

Розгорніть The Windows Logsу програмі The Event Viewerта виберіть System. Потім у The System Panel, зазвичай, з’являється посередині, сортуйте їх за рівнем чи ідентифікатором.

Натисніть на кожен запис, щоб побачити опис на нижній панелі

— м.р226
джерело