Просмотр журналов событий завершения работы Windows Server 2008 R2

39

Я пытаюсь просмотреть журналы отслеживания событий завершения работы в средстве просмотра событий Windows Server 2008 r8, но не могу найти сообщения, которые я предоставил при перезапуске сервера.

Где в окне просмотра событий я могу увидеть эти журналы?

windows-server-2008-r2 eventviewer

— укладчик
источник

57

Открыть просмотрщик событий. Раскройте журналы Windows. Нажмите «Система», затем найдите или отфильтруйте событие с идентификатором 1074. И вы увидите все свои журналы выключения.

— Иаков
источник

спасибо, это очень удобно Windows не облегчает навигацию по журналам, не зная, что вы ищете

— Гордон Карпентер-Томпсон

16

Вам также нужно включить 1076 (незапланированное отключение) и фильтр для источника user32

8

Также может быть интересно событие 6008 «Неожиданное отключение» ...

— Ненотлеп

@Jacob, как вы получаете список идентификаторов событий и что они представляют?

— Pacerier

1

@Pacerier Удачи с этим .... но вот начало: eventid.net

— leeand00

12

Я знаю, что это очень старый вопрос. Но это может помочь кому-то, кто ищет такое же решение. вы можете использовать одну строку в powershell (которая будет доступна во всех ОС после win 2003), чтобы узнать историю перезагрузки. Просто откройте powershell.exe из командной строки и введите команду ниже.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

— gbabu
источник

9

Если вы или другие просто пытаетесь найти самое последнее время загрузки, я нашел самый простой способ - запустить это в cmd:

systeminfo | find "System Boot Time"

От powercram.com

— штифтик
источник

Если вы ничего не видите, просто удалите находку. У меня там не было этой информации, но у меня было «System Up Time».

— Ненотлеп

@Nenotlep, Лучше всего просто сделать без учета регистра поиска: systeminfo | find /i "system" | find /i "time". Работает на всех системах

— Pacerier

2

Еще один полезный подход, который я нашел, поскольку мы часто отслеживаем сбои на наших серверах, размещенных у провайдера, заключается в создании настраиваемого представления событий следующим образом:

Откройте Event Viewer, затем

Щелкните правой кнопкой мыши Custom Views
Нажмите Создать пользовательский вид
На вкладке Фильтр
- Хранить в журнале как в любое время
- Выберите все типы уровней событий (Критические, Предупреждение и т. Д.)
- Выбрать по источнику = Журналы Windows> Система
- Для идентификатора события в разделе «Включает / исключает идентификаторы событий» введите 1074 для идентификатора события.
Нажмите Ok
Введите имя, например, «Завершение работы», и любое описание.
Нажмите Ok еще раз, чтобы завершить пользовательский журнал событий.

Ваш новый пользовательский вид должен появиться в списке пользовательских видов с правильным фильтром.

— Жак
источник

1

Основываясь на других ответах, я изменил этот шаг для своих взглядов:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID

— Йерун Вирт Плюмерс

1

Немного более чистая однострочная оболочка Powershell, которую я использую для отфильтровывания связанных с выключением событий:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Чтобы ограничить это только наиболее полезными свойствами:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Кроме того, для поиска по тексту сообщения:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

— Амит Найду
источник

0

Разверните The Windows Logsв The Event Viewerприложении и выберите System. Затем The System Panel, обычно появляется посередине, сортируйте их по уровню или идентификатору.

Нажмите на каждую запись, чтобы увидеть описание в нижней панели

— m.r226
источник