Wyświetl dzienniki śledzenia zdarzeń zamknięcia systemu w systemie Windows Server 2008 R2

39

Próbuję wyświetlić dzienniki śledzenia zdarzeń zamknięcia systemu w Podglądzie zdarzeń na Windows Server 2008 r8, ale nie mogę znaleźć wiadomości, które dostarczyłem, gdy poprzednio uruchomiłem ponownie serwer.

Gdzie w Podglądzie zdarzeń mogę zobaczyć te dzienniki?

windows-server-2008-r2 eventviewer układacz
źródło

Odpowiedzi:

57

Otwórz przeglądarkę wydarzeń. Rozwiń dzienniki systemu Windows. Kliknij system, a następnie znajdź lub odfiltruj identyfikator zdarzenia 1074. Zobaczysz wszystkie dzienniki zamknięcia.

Jakub
źródło
dzięki, to bardzo przydatne. System Windows nie ułatwia nawigacji w dziennikach, nie wiedząc, czego szukasz
Gordon Carpenter-Thompson
16
Musisz także dołączyć 1076 (nieplanowane zamknięcie) i filtrować dla źródłowego użytkownika 32
8
Również wydarzenie 6008 „Nieoczekiwane zamknięcie” może być interesujące ...
Nenotlep
@Jacob, Jak uzyskać listę identyfikatorów zdarzeń i ich reprezentację?
Pacerier
1
@Pacerier Powodzenia z tym .... ale oto początek: eventid.net
leeand00
12

Wiem, że to bardzo stare pytanie. Ale może to pomóc komuś, kto szuka tego samego rozwiązania. możesz użyć pojedynczego wiersza w PowerShell (który jest dostępny we wszystkich systemach operacyjnych później niż Windows 2003), aby poznać historię restartu. Wystarczy otworzyć powershell.exe z wiersza polecenia i wprowadzić poniższe polecenie.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
gbabu
źródło
9

Jeśli ty lub inni próbujesz znaleźć najnowszy czas rozruchu, najłatwiejszym sposobem, jaki znalazłem, jest uruchomienie tego w cmd:

systeminfo | find "System Boot Time"

Od powercram.com

Ćwiek
źródło
Jeśli nic nie widzisz, po prostu usuń znalezisko. Nie miałem tam tych informacji, ale miałem „System Up Time”.
Nenotlep
@Nenotlep, najlepiej byłoby po prostu zrobić wielkość liter ma znaczenie poszukiwania: systeminfo | find /i "system" | find /i "time". Działa na wszystkich systemach
Pacerier
2

Innym przydatnym podejściem, które znalazłem, ponieważ często monitorujemy nasze serwery hostowane przez dostawcę usług internetowych pod kątem awarii, jest utworzenie niestandardowego widoku zdarzeń w następujący sposób:

Następnie otwórz Podgląd zdarzeń

  • Kliknij prawym przyciskiem myszy Widoki niestandardowe
  • Kliknij opcję Utwórz widok niestandardowy
  • Pod zakładką Filtr
    • Bądź zalogowany jak zawsze
    • Wybierz wszystkie typy poziomów zdarzeń (Krytyczne, Ostrzeżenie itp.)
    • Wybierz według źródła = Dzienniki systemu Windows> System
    • W polu Identyfikator zdarzenia w sekcji Zawiera / wyklucza identyfikator zdarzenia wprowadź 1074 jako identyfikator zdarzenia
  • Kliknij OK
  • Wpisz nazwę, np. Zdarzenia zamykania i dowolny opis
  • Kliknij ponownie przycisk OK, aby uzupełnić niestandardowy dziennik zdarzeń.

Twój nowy widok niestandardowy powinien pojawić się na liście widoków niestandardowych z zastosowanym prawidłowym filtrem.

Jacques
źródło
1
W oparciu o inne odpowiedzi zmieniłem ten krok dla moich poglądów:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID
Jeroen Wiert Pluimers
1

Nieco czystszy jednowarstwowy program PowerShell, którego używam do filtrowania identyfikatorów zdarzeń związanych z zamykaniem:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Aby ograniczyć to tylko do najbardziej przydatnych właściwości:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Alternatywnie, aby wyszukać według tekstu wiadomości:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w
Amit Naidu
źródło
0

Rozwiń The Windows Logsw The Event Vieweraplikacji i wybierz System. Następnie w The System Panel, zwykle pojawia się na środku, posortuj je według poziomu lub identyfikatora.

Kliknij opcję Przy każdym wpisie, aby wyświetlić opis w dolnym panelu

m.r226
źródło