ดูบันทึกการติดตามเหตุการณ์ Shutdown ใน Windows Server 2008 R2

39

ฉันกำลังพยายามดูบันทึกเหตุการณ์ตัวปิดการทำงานของ Shutdown ใน Event Viewer บน Windows Server 2008 r8 แต่ฉันไม่พบข้อความที่ฉันให้เมื่อรีสตาร์ทเซิร์ฟเวอร์ก่อนหน้านี้

ฉันจะดูบันทึกเหล่านี้ได้ที่ไหนใน Event Viewer

windows-server-2008-r2  eventviewer 
รถ stacker
แหล่งที่มา

คำตอบ:

57

เปิดตัวแสดงเหตุการณ์ ขยายบันทึก windows คลิกระบบจากนั้นค้นหาหรือกรองรหัสเหตุการณ์ 1074 และคุณจะเห็นบันทึกการปิดระบบทั้งหมดของคุณ

จาค็อบ
แหล่งที่มา
ขอบคุณมันมีประโยชน์มาก Windows ไม่สะดวกในการสำรวจบันทึกโดยไม่รู้ว่าคุณกำลังมองหาอะไร
Gordon Carpenter-Thompson
16
คุณต้องรวม 1076 (Unplanned shutdown) และตัวกรองสำหรับซอร์สผู้ใช้
8
นอกจากนี้ยังจัดกิจกรรม 6008 "ปิดไม่คาดคิด" อาจจะน่าสนใจ ...
Nenotlep
@Jacob คุณจะรับรายการรหัสเหตุการณ์ได้อย่างไรและเป็นอย่างไร
Pacerier
1
@Pacerier ขอให้โชคดีกับสิ่งนั้น .... แต่นี่เป็นการเริ่มต้น: eventid.net
leeand00
12

ฉันรู้ว่านี่เป็นคำถามที่เก่ามาก แต่นี่อาจช่วยคนที่กำลังมองหาวิธีแก้ปัญหาแบบเดียวกัน คุณสามารถใช้บรรทัดเดียวใน powershell (ซึ่งมีอยู่ในระบบปฏิบัติการทั้งหมดในภายหลังที่ชนะ 2003) เพื่อค้นหาประวัติรีบูต เพียงเปิด powershell.exe จากการเรียกใช้พรอมต์และป้อนคำสั่งด้านล่าง

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
gbabu
แหล่งที่มา
9

หากคุณหรือคนอื่น ๆ กำลังพยายามหาเวลาบูตล่าสุดวิธีที่ง่ายที่สุดที่ฉันพบคือใช้งานใน cmd:

systeminfo | find "System Boot Time"

จากpowercram.com

แบรด
แหล่งที่มา
หากคุณไม่เห็นอะไรเลยให้ลบการค้นหาออก ฉันไม่มีข้อมูลนั้น แต่ฉันมี "เวลาที่ใช้ในระบบ"
Nenotlep
@Nenotlep systeminfo | find /i "system" | find /i "time"ที่ดีที่สุดก็คือการทำกรณีการค้นหาตายของ: ทำงานได้กับทุกระบบ
Pacerier
2

อีกวิธีหนึ่งที่เป็นประโยชน์ที่ฉันได้พบเนื่องจากเราตรวจสอบเซิร์ฟเวอร์ที่โฮสต์ ISP ของเราเป็นระยะบ่อย ๆ คือการสร้างมุมมองเหตุการณ์ที่กำหนดเองดังนี้

เปิด Event Viewer แล้ว

  • คลิกขวาที่มุมมองที่กำหนดเอง
  • คลิกสร้างมุมมองที่กำหนดเอง
  • ใต้แท็บตัวกรอง
    • เก็บบันทึกเป็นตลอดเวลา
    • เลือกประเภทระดับเหตุการณ์ทั้งหมด (ที่สำคัญคำเตือน ฯลฯ )
    • เลือกตามแหล่ง = บันทึกของ Windows> ระบบ
    • สำหรับรหัสเหตุการณ์ภายใต้ส่วนรวม / ไม่รวมรหัสเหตุการณ์ป้อน 1074 สำหรับรหัสเหตุการณ์
  • คลิกตกลง
  • ป้อนชื่อเช่นเหตุการณ์การปิดเครื่องและคำอธิบายใด ๆ จากนั้น
  • คลิกตกลงอีกครั้งเพื่อทำบันทึกเหตุการณ์ที่กำหนดเองให้สมบูรณ์

มุมมองที่กำหนดเองใหม่ของคุณควรปรากฏในรายการมุมมองที่กำหนดเองโดยใช้ตัวกรองที่ถูกต้อง

ฌาคส์
แหล่งที่มา
1
จากคำตอบอื่น ๆ ฉันได้เปลี่ยนขั้นตอนนี้สำหรับมุมมองของฉัน:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID
Jeroen Wiert Pluimers
1

ทำความสะอาด Powershell เล็กน้อยซับเดียวที่ฉันใช้เพื่อกรองการปิด EventID ที่เกี่ยวข้อง:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

ในการ จำกัด คุณสมบัติดังกล่าวให้เป็นประโยชน์มากที่สุด:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

อีกวิธีหนึ่งในการค้นหาด้วยข้อความ:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w
Amit Naidu
แหล่งที่มา
0

ขยายThe Windows LogsในการสมัครและเลือกThe Event Viewer Systemจากนั้นในThe System Panelมักจะปรากฏขึ้นตรงกลางเรียงตามระดับหรือรหัส

คลิกที่ทุกรายการเพื่อดูคำอธิบายในแผงด้านล่าง

m.r226
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.