Описание отслеживания событий завершения работы

В этой статье описывается отслеживание событий завершения работы.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 293814

Аннотация

Отслеживание событий завершения работы — это функция Microsoft Windows Server 2003 и Microsoft Windows XP, которую можно использовать для согласованного отслеживания причины отключения системы. Затем эти сведения можно использовать для анализа завершения работы и разработки более полного понимания системной среды. Отслеживание событий завершения работы занося в журнал событий, аналогичных следующим событиям системы:

Дополнительные сведения

Windows Server 2003 и Windows XP 64-Bit Edition версии 2003

По умолчанию отслеживание событий завершения работы включено для всех операционных систем Windows Server 2003 и Windows XP 64-Bit Edition версии 2003.

Чтобы отключить отслеживание событий завершения работы во всех операционных системах Windows Server 2003 и Windows XP 64-Bit Edition версии 2003, отключать политику отслеживания событий завершения работы с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и выберите «ОК».
3. Раз развернуть конфигурацию компьютера, развернуть административные шаблоны, а затем развернуть «Система».
4. Дважды щелкните display Shutdown Event Tracker.
5. Выберите «Отключено» и «ОК»

Windows XP Professional

По умолчанию в Windows XP Professional отключено отслеживание событий завершения работы.

Чтобы включить отслеживание событий завершения работы в Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center Edition, включите политику отслеживания событий завершения работы с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и выберите «ОК».
3. Раз развернуть конфигурацию компьютера, развернуть административные шаблоны, а затем развернуть «Система».
4. Дважды щелкните display Shutdown Event Tracker.
5. Щелкните Включено.
6. В окне «Отслеживание событий завершения работы» выберите «Всегда» и выберите «ОК».

Отслеживание событий завершения работы не является функциональным компонентом в Windows XP Home Edition. Поэтому вы не можете использовать отслеживание событий завершения работы в Windows XP Home Edition.

Корпорация Майкрософт рекомендует не включить отслеживание событий завершения работы в Windows XP Professional, планшетном ПК с Windows XP или Windows XP Media Center Edition. Корпорация Майкрософт не поддерживает использование этого компонента в этих средах Windows XP.

Настраиваемые параметры для определения причины завершения работы

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Windows предоставляет список из восьми универсальных причин, по которым компьютер был отключен. Этот список можно изменить, включив в него собственные настраиваемые причины. Чтобы добавить собственные причины, выполните следующие действия:

Откройте редактор реестра.

Найдите и выберите следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Reliability\UserDefined

В меню «Правка» выберите «Новый» и «Много строка». При этом создается новый ключ с временным именем «New Value».

Введите имя ключа реестра в следующем формате и нажмите клавишу ВВОД: UI_control_flags; major_reason_number; minor_reason_number
Раздел UI_control_flags имени значения может содержать одно или несколько из следующих значений:

• P (указывает, что причина запланирована. Если это значение опущено, значение по умолчанию является незапланированным.)
• C или B (указывает, что требуется комментарий).)
• S (указывает, что причина должна отображаться в диалоговом окне завершения работы, инициированном пользователем.)
• Г (указывает, что причина должна отображаться в диалоговом окне неожиданного завершения работы.) Например, если вы хотите, чтобы причина отображалась в диалоговом окне неожиданного завершения работы, завершение работы будет незапланированным, а завершение работы соответствует основной причине 2 и по второстепенной причине 2, введите следующее имя значения: D;2;2

Дважды щелкните новый ключ и определите данные значения в следующем формате:

Каждое значение состоит из двух строк на отдельных строках; Первая строка является заголовком (она отображается в списке), а вторая строка — описанием (это текст, который отображается по выбранной причине).

Например, если вы хотите создать настраиваемую причину аварии, можно определить данные значения следующим образом: Natural Disaster (unplanned)

Чтобы компьютер был выключен, необходимо, чтобы компьютер был остановлен из-за затравки, а также от хлама или другого незапланированного естественного события. Укажите естественное событие в области комментария.

Как найти журнал завершения работы в Windows 10

Windows отслеживает процесс завершения работы и записывает все происходящие в этом момент события в системный журнал. В сегодняшней статье мы рассмотрим как найти журнал завершения работы в Windows 10.

В Windows есть три события связанные с выключением компьютера или его перезагрузкой:

• событие 6008 – неправильное завершение работы. Данное событие появляется в журнале если ваш компьютер был резко отключен, может свет пропал или на экране появился синий экран и компьютер ушел в перезагрузку.
• событие 6006 – компьютер правильно завершил свою работу.
• событие 1074 – процесс завершения был инициирован приложением. К примеру, Windows установила обновления и в процессе их установки нужно было перезагрузить компьютер.

Найти журнал завершение работы

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr.msc и нажмите клавишу Enter.

2. В левой колонке выберите “Журналы Windows” => “Система” => с правой стороны выберите “Фильтр текущего журнала”.

3. В строку ниже “Включение или исключение кодов событий” введите 1074, 6006, 6008 и нажмите “ОК”.

Перед вами журнал показывающий только события связанные с завершением работы компьютера.

На сегодня всё, если вы знаете другие способы – пишите в комментариях! Счастья Вам 🙂

Отследить завершение работы, (перезагрузку, смену пользователя) в Windows.

Отследить завершение работы, (перезагрузку, смену пользователя) в Windows.

Очень часто мы сталкиваемся с проблемой, когда наша программа будучи запущенная в фоне и/или свёрнутая, например, в панель задач должна что-то сделать, когда Windows выключается, перезагружается или просто меняется пользователь.

Если мы не будем отслеживать такую ситуацию, то в худшем случае у нас могут просто потеряться какие-либо данные или Windows просто не сможет выполнить перезагрузку до конца. Ей будет мешать наша программа. Не нужно думать, что Windows перед перезагрузкой рассылает приложениям сообщения о закрытии, так чтобы у тех выпаолнились обработчкики TForm.onCloseQuery/onClose.

ОС Windows отсылает перед перезагрузкой, выключением или сменой пользователя сообщения WM_QUERYENDSESSION, а потом по его успешному завершению WM_ENDSESSION. Наше приложение должно поймать эти сообщения и отреагировать так чтобы дать понять, что мы согласны перезагружаться. В частности на сообщение WM_QUERYENDSESSION мы должны вернуть не 0:

The WM_QUERYENDSESSION message is sent when the user chooses to end the Windows session or when an application calls the ExitWindows function. If any application returns zero, the Windows session is not ended. Windows stops sending WM_QUERYENDSESSION messages as soon as one application returns zero.

Практически мы уже здесь можем завершить свою программу.

В случае если те действия, которые выполняются при наступлении перезагрузки не велики по величине времени их выполнения, можно не обрабатывать WM_QUERYENDSESSION, а обойтись просто сообещением WM_ENDSESSION. В параметре WParam этого сообщения поступает как раз тот результат, который мы вернули (или не вернули) из сообщения WM_QUERYENDSESSION:

protected procedure IsWindowsShutDown( var Msg: TMessage);WM_ENDSESSION;

procedure TForm1.IsWindowsShutDown( var Msg: TMessage);

if Msg.WParam = 1 then MainForm.Close; // выгружаем приложение

Если нам нужно что-то сделать ещё (например удалить какой-либо файл или записать какую-нибудь информацию), применительно для вышеприведённого примера это можно сделать в обработчиках onCloseQuery/onClose формы.

Процедуру IsWindowsShutDown() мы должны описать в классе того окна, которое будет принимать данное сообщение т.е. формы.

Добавить комментарий

Не использовать не нормативную лексику.

Просьба писать ваши замечания, наблюдения и все остальное,
что поможет улучшить предоставляемую информацию на этом сайте.

ВСЕ КОММЕНТАРИИ МОДЕРИРУЮТСЯ ВРУЧНУЮ, ТАК ЧТО СПАМИТЬ БЕСПОЛЕЗНО!

Зафиксировать причину отключения компьютера.

Как зафиксировать причину отключения компьютера ?

Когда вы сами перезагружаете или выключаете компьютер, вам беспокоиться не о чем: завершение сеанса Windows происходит в штатном режиме. А если это не так, и компьютер беспричинно отключается? Сейчас я покажу вам как узнать причину отключения компьютера средствами Windows. В системе есть для этого специальная настройка в групповых политиках, которая создаст особый файл, в котором будет указана на то причина.

ВНИМАНИЕ . В Домашних версиях Windows такая возможность по умолчанию недоступна. Редактор групповой политики для Home-версии вам нужно скачать.

СПРАВОЧКА . Функция впервые была представлена в серверной версии 2003 и предназначалась для установки причин перезагрузки машины, что является крайне важным для пользователей событием.

Чтобы активировать эту возможность, в строке поиска в панели инструментов или из Выполнить (WIN + R) введите команду

В Групповых политиках отправляемся в Конфигурацию компьютера – Административные шаблоны – Система. Найдите функцию Отображать диалог слежения за совершением работы и дважды щёлкните по ней, впоследствии выбрав функцию Включить. Далее Применить – ОК.

А теперь применим этот на практике. Закройте все приложения и перезагрузите компьютер. Но перед перезагрузкой вы увидите нехарактерное для этих действий окно:

Вот оно – окно регистрации завершения работы. Вы можете закомментировать происходящее. По нажатии на ниспадающий список система может сама кое-что предложить.

Помимо всего прочего, можно посмотреть на причину отключения компьютера в Журнале событий. Он является прекрасным инструментом регистрации событий. Инструкция по его пользованию лежит в статье Как читать Журнал событий Windows.

Давайте посмотрим на Журнал. Нажмите Пуск и введите команду eventvwr. В разделе с чудным названием (видимо, следствием некорректного перевода) События страницы сводки можно найти событие за номером 1074 соответствующее перезагрузке системы. Там по-русски вы сможете прочитать, что перезагрузил её такой-то пользователь. То есть вы.

Как зафиксировать причину отключения компьютера через реестр?

В реестре нам нужно найти ветку:

Это можно сделать вручную, однако я советую вам воспользоваться статьёй о том, как моментально найти нужную ветку в реестре с помощью специальной команды в консоли команд.

Нам нужны два параметра с названиями ShutdownReasonUI и ShutdownReasonOn. Присвойте им значения 1. Если вы уже установили возможность зафиксировать причину отключения компьютера через групповые политики системы, то значение 1 уже будет установлено.

Как включить отслеживание событий завершения работы в Windows 10

Когда пользователь выключает компьютер из меню Пуск, Windows завершает работу сразу. Так и должно быть, но есть случаи, когда для завершения работы операционной системы может понадобиться подтверждение. Например, администратору необходимо как можно дольше продержать систему в состоянии простоя, предотвращая ее перезапуск встроенным или сторонним программным обеспечением. Также это может понадобиться для регистрации причин незапланированной перезагрузки или выключения компьютера.

Для этого в Windows 10 есть такая функция как Trackdown Event Tracker. Если ее включить, система станет записывать указанную пользователем причину перезагрузки или завершения работы в специальный раздел журнала событий. Активировать ее можно с помощью редактора локальных групповых политик и редактора реестра. Используйте какой вам удобнее.

Запустите редактор политик командой gpedit.msc и перейдите по цепочке Конфигурация компьютера -> Административные шаблоны -> Система.

Прокрутив список параметров вниз, найдите в правой колонке настройку «Отображать средство регистрации событий завершения работы».

Кликните по ней дважды и установите радиокнопку в положение «Включено».

Значение параметра отображения выбираем или оставляем «Всегда».

Теперь, если вы попробуете выключить или перезагрузить ПК через меню Пуск, в левом нижнем углу появится меню, в котором вам будет предложено выбрать причину выключения или перезагрузки.

Изменится вид и диалогового окошка Alt + F4 , в нем также появится аналогичное меню.

Если компьютер будет выключен внезапно или перезагружен принудительно, после загрузки на рабочем столе появится окно с формой, в которой пользователя попросят указать вероятную причину непредвиденного завершения работы и добавить при желании свой комментарий.

Вот так работает Trackdown Event Tracker. Пара моментов, о которых следует знать — выходы из учетной записи подтверждения не требуют, выключение или перезагрузка командой shutdown с параметрами /s или /r выполняется в обычном режиме без регистрации.

Если захотите включить функцию через реестр, разверните в нем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability (последнего подкаталого может и не быть) и создайте в подразделе Reliability два DWORD -параметра.

С именами ShutdownReasonOn и ShutdownReasonUI. В качестве значения обоих параметров установите 1.

Новые настройки вступят с силу после перезагрузки компьютера. Для отключения функции измените значения на 0 или просто удалите созданные параметры.