Jak mogę łatwo zobaczyć historię za każdym razem, gdy mój system Windows Server uruchamia się ponownie lub zamyka, i dlaczego tak się dzieje, w tym inicjowane przez użytkownika, inicjowane przez system i awarię systemu?
Dziennik zdarzeń systemu Windows jest oczywistą odpowiedzią, ale jaka jest pełna lista zdarzeń, które powinienem wyświetlić?
Znalazłem te posty, które częściowo odpowiadają na moje pytanie:
- Czas ostatniego restartu serwera Windows zawiera kilka odpowiedzi, które częściowo dotyczą pełnej historii restartu
- Wyświetl dzienniki śledzenia zdarzeń zamknięcia systemu w systemie Windows Server 2008 R2 zawiera dodatkowy identyfikator zdarzenia
- Dziennik zdarzeń Czas, kiedy uruchamianie / uruchamianie komputera zawiera niektóre takie same identyfikatory zdarzeń
ale nie obejmują one wszystkich scenariuszy AFAIK, a informacje są trudne do zrozumienia, ponieważ są rozłożone na wiele odpowiedzi.
Mam kilka wersji systemu Windows Server, więc rozwiązanie, które działa w co najmniej wersjach 2008, 2008 R2, 2012 i 2012 R2 byłoby idealne.
windows-server-2008
windows-server-2008-r2
windows-server-2012
windows-server-2012-r2
windows-event-log
JohnC
źródło
źródło
Odpowiedzi:
Najostrzejsza, najbardziej zwięzła odpowiedź, jaką mogłem znaleźć, to:
która zawiera te identyfikatory zdarzeń do monitorowania (cytowane, ale edytowane i sformatowane z artykułu):
Dodaj do tego jeszcze kilka odpowiedzi na temat błędów serwera wymienionych w moim PO:
Czy tęskniłem?
źródło
Kernel-General
pomocą eventid12
, który jest zazwyczaj pierwszym identyfikatorem zdarzenia, który zostanie zarejestrowany po ponownym uruchomieniu / resecie itp. I pokazuje rzeczywisty „czas uruchomienia systemu”, tj .: „System operacyjny uruchomił się w czasie systemowym 2017 - 09 - 19T02: 46: 06.582794900Z. ”Zostawiłbym to po prostu jako komentarz, ponieważ JohnC w zasadzie wszystko opisał, ale nie mogę tego jeszcze zrobić.
Wydarzenia, które opisał, były używane od dłuższego czasu, więc będą działać na każdym systemie operacyjnym, o którym wspomniałeś, a także na ich komputerach. Strony identyfikujące zdarzenia, do których odsyłał , takie jak ta dla 6006 w TechNet, wspominają Windows Server 2003.
Jeśli nastąpiło eleganckie zamknięcie, inicjowane przez użytkownika lub w inny sposób, powinieneś zobaczyć także identyfikator zdarzenia 7036 informujący, że różne usługi „weszły w stan zatrzymania”. Gdy maszyna uruchomi się ponownie, zobaczysz więcej 7036s informujących, że usługi wchodzą w stan działania.
źródło
Opierając się na odpowiedzi @JohnC i rozszerzając ją
Możesz użyć filtru XML, takiego jak:
Możesz zastąpić 172800000 poniższymi wartościami dla zakresu czasu:
86400000 - Ostatnie 24 godziny
172800000 - Ostatnie 2 dni
604800000 - Ostatnie 7 dni
To pokaże znacznie więcej szczegółów od momentu, gdy serwer / komputer przeszedł w tryb offline. Obejmuje to zdarzenia Kernel-Power, User32 i EventLog.
źródło
Wolę wykonywać czynności z wiersza poleceń. Oto początek fragmentu, który możesz wykorzystać. Pokazuje najnowsze 30 000 rekordów systemowych i zwraca ponowne uruchomienie w tych rekordach.
źródło