Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Microsoft-Windows-Kernel-PnP-Events, 400, 410, 420, 430, 442.

Здравствуйте, уже очень давно существует проблема распознования usb устройств, подключенных к компьютеру. А это Usb 2.0 камера и проводной геймпад XboX 360. Центр исправления ошибок не распознает проблемы с работой устройств и система «видит» данные устройства, однако они работают некорректно.

Камера не работает совсем, хотя все приложения распознают ее наличие, а геймпад работает только первые несколько секунд после подключения (и то, только левый стик)

Недавно после перезагрузки компьютера в диспетчере устройств появилась новая надпись о том, что windows не может найти описание индентификатора события.

Далее идет текст ошибок из диспетчера устройств:

Событие UserPnP

Установка драйвера xusb22.inf_amd64_e41db3fe2103ee21 для экземпляра устройства с ИД USB\VID_0738&PID_F401\102176A завершена со следующим состоянием: 0x0.

[ Name] Microsoft-Windows-UserPnp
[ Guid]

[ ProcessID] 18812
[ ThreadID] 1268

DriverDescription Контроллер Xbox 360 для Windows

Событие Kernel-PnP 442

[ Name] Microsoft-Windows-Kernel-PnP
[ Guid]

EventID 442
Version 0
Level 3
Task 0
Opcode 0
Keywords 0x4000000000000000
— TimeCreated
[ SystemTime] 2018-11-02T16:28:57.165078000Z
EventRecordID 825
Correlation
— Execution
[ ProcessID] 4
[ ThreadID] 4100
Channel Microsoft-Windows-Kernel-PnP/Configuration
DeviceInstanceId USB\VID_0738&PID_F401\102176A
LastDeviceInstanceId USB\VID_1532&PID_0510\00000000
ClassGuid <36fc9e60-c465-11cf-8056-444553540000>
LocationPath PCIROOT(0)#PCI(1D00)#USBROOT(0)#USB(2)
MigrationRank 0xf000ffffffff0023
Present false
Status 0xc0000719

Не удается найти описание для идентификатора события 442 из источника Microsoft-Windows-Kernel-PnP. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
USB\VID_0738&PID_F401\102176A
USB\VID_1532&PID_0510\00000000
EV_RenderedValue_2,00
PCIROOT(0)#PCI(1D00)#USBROOT(0)#USB(2)
17294104044079349795
False
3221227289

Событие Kernel 420

Не удается найти описание для идентификатора события 420 из источника Microsoft-Windows-Kernel-PnP. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
USB\VID_0738&PID_F401\102176A
EV_RenderedValue_1,00
0
0

System
— Provider
[ Name] Microsoft-Windows-Kernel-PnP
[ Guid] <9c205a39-1250-487d-abd7-e831c6290539>
EventID 420
Version 0
Level 4
Task 0
Opcode 0
Keywords 0x4000000000000000
— TimeCreated
[ SystemTime] 2018-11-03T14:16:30.232352900Z
EventRecordID 871
Correlation
— Execution
[ ProcessID] 5644
[ ThreadID] 10508
Channel Microsoft-Windows-Kernel-PnP/Configuration
DeviceInstanceId USB\VID_0738&PID_F401\102176A
ClassGuid
Problem 0x0
Status 0x0

Событие Kernel-PnP 410

Не удается найти описание для идентификатора события 410 из источника Microsoft-Windows-Kernel-PnP. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения:

Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Как получить событие в журнал событий о подключении USB-устройства?

Периодически вызывать всякие SetupDi и проверять что появилось в списке.

Приблизительно описано тут

disik: ну, я помню только, что события с 20000 начинаются и то, не совсем уверен :-[.

В журналах событий создайте настраиваемое представление, выберите фильтр по Источнику, там в списке есть UserPnP, несколько источников с usb, есть PlugPlayManager, в нём можно будет увидеть все такие подключения. Или по журналу ,выбрать система и ниже коды событий. Ну и в общем, поэкспериментировать.
(кстати, возможно можно указывать просто 20000 и все события USB будут туда записаны)

Собственно, вам же не столь важно, именно само подключение, ведь всё равно каждый раз драйвер устанавливается, можно и по этому параметру событие в планировщик добавлять.

P.S. Вспомнил, есть же ещё журнал «События оборудования» там тоже можно посмотреть, поискать нужные записи.

а с помощью WMIExplorer можно поексперементировать с запросами вида :
— select * from CIM_USBDevice
И прописать его исполнение в Службе или в Autorun, но тут надо поэкспериментировать.

А можно узнать какую проблему или задачу вы этим хотите решить ?
Что если установить Софт мониторинга ПК который также все подключенные девайсы мониторит. а может и заблокировать ?