Historia ponownego uruchamiania / zamykania systemu Windows Server

Jak mogę łatwo zobaczyć historię za każdym razem, gdy mój system Windows Server uruchamia się ponownie lub zamyka, i dlaczego tak się dzieje, w tym inicjowane przez użytkownika, inicjowane przez system i awarię systemu?

Dziennik zdarzeń systemu Windows jest oczywistą odpowiedzią, ale jaka jest pełna lista zdarzeń, które powinienem wyświetlić?

Znalazłem te posty, które częściowo odpowiadają na moje pytanie:

• Czas ostatniego restartu serwera Windows zawiera kilka odpowiedzi, które częściowo dotyczą pełnej historii restartu
• Wyświetl dzienniki śledzenia zdarzeń zamknięcia systemu w systemie Windows Server 2008 R2 zawiera dodatkowy identyfikator zdarzenia
• Dziennik zdarzeń Czas, kiedy uruchamianie / uruchamianie komputera zawiera niektóre takie same identyfikatory zdarzeń

ale nie obejmują one wszystkich scenariuszy AFAIK, a informacje są trudne do zrozumienia, ponieważ są rozłożone na wiele odpowiedzi.

Mam kilka wersji systemu Windows Server, więc rozwiązanie, które działa w co najmniej wersjach 2008, 2008 R2, 2012 i 2012 R2 byłoby idealne.

Najostrzejsza, najbardziej zwięzła odpowiedź, jaką mogłem znaleźć, to:

• Jak wyświetlić historię uruchamiania i zamykania komputera w systemie Windows

która zawiera te identyfikatory zdarzeń do monitorowania (cytowane, ale edytowane i sformatowane z artykułu):

• Identyfikator zdarzenia 6005 ( alternatywny ): „Uruchomiono usługę dziennika zdarzeń”. Jest to synonim uruchamiania systemu.
• Identyfikator zdarzenia 6006 ( alternatywny ): „Usługa dziennika zdarzeń została zatrzymana”. Jest to równoznaczne z zamknięciem systemu.
• Identyfikator zdarzenia 6008 ( alternatywny ): „Poprzednie zamknięcie systemu było nieoczekiwane”. Rejestruje, że system uruchomił się po jego nieprawidłowym zamknięciu.
• Identyfikator zdarzenia 6009 ( alternatywny ): Wskazuje nazwę produktu Windows, wersję, numer kompilacji, numer dodatku Service Pack i typ systemu operacyjnego wykrytego podczas uruchamiania.
• Identyfikator zdarzenia 6013: Wyświetla czas pracy komputera. Nie ma strony TechNet dla tego identyfikatora.

Dodaj do tego jeszcze kilka odpowiedzi na temat błędów serwera wymienionych w moim PO:

• Zdarzenie o numerze 1074 ( alternatywnie ): „Proces X zainicjował ponowne uruchomienie / wyłączenie komputera w imieniu użytkownika Y z następującego powodu: Z.” Wskazuje, że aplikacja lub użytkownik zainicjowali ponowne uruchomienie lub zamknięcie.
• Identyfikator zdarzenia 1076 ( alternatywny ): „Przyczyną podaną przez użytkownika X dla ostatniego nieoczekiwanego zamknięcia tego komputera jest: T”. Rejestruje, kiedy pierwszy użytkownik z uprawnieniami do zamykania loguje się na komputerze po nieoczekiwanym ponownym uruchomieniu lub zamykaniu i podaje przyczynę tego zdarzenia.

Czy tęskniłem?

Zostawiłbym to po prostu jako komentarz, ponieważ JohnC w zasadzie wszystko opisał, ale nie mogę tego jeszcze zrobić.

Wydarzenia, które opisał, były używane od dłuższego czasu, więc będą działać na każdym systemie operacyjnym, o którym wspomniałeś, a także na ich komputerach. Strony identyfikujące zdarzenia, do których odsyłał , takie jak ta dla 6006 w TechNet, wspominają Windows Server 2003.

Jeśli nastąpiło eleganckie zamknięcie, inicjowane przez użytkownika lub w inny sposób, powinieneś zobaczyć także identyfikator zdarzenia 7036 informujący, że różne usługi „weszły w stan zatrzymania”. Gdy maszyna uruchomi się ponownie, zobaczysz więcej 7036s informujących, że usługi wchodzą w stan działania.

Opierając się na odpowiedzi @JohnC i rozszerzając ją

Możesz użyć filtru XML, takiego jak:

<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

Możesz zastąpić 172800000 poniższymi wartościami dla zakresu czasu:

86400000 - Ostatnie 24 godziny

172800000 - Ostatnie 2 dni

604800000 - Ostatnie 7 dni

To pokaże znacznie więcej szczegółów od momentu, gdy serwer / komputer przeszedł w tryb offline. Obejmuje to zdarzenia Kernel-Power, User32 i EventLog.

Wolę wykonywać czynności z wiersza poleceń. Oto początek fragmentu, który możesz wykorzystać. Pokazuje najnowsze 30 000 rekordów systemowych i zwraca ponowne uruchomienie w tych rekordach.

Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}