Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Описание отслеживания событий завершения работы

В этой статье описывается отслеживание событий завершения работы.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 293814

Аннотация

Отслеживание событий завершения работы — это функция Microsoft Windows Server 2003 и Microsoft Windows XP, которую можно использовать для согласованного отслеживания причины отключения системы. Затем эти сведения можно использовать для анализа завершения работы и разработки более полного понимания системной среды. Отслеживание событий завершения работы занося в журнал событий, аналогичных следующим событиям системы:

Дополнительные сведения

Windows Server 2003 и Windows XP 64-Bit Edition версии 2003

По умолчанию отслеживание событий завершения работы включено для всех операционных систем Windows Server 2003 и Windows XP 64-Bit Edition версии 2003.

Чтобы отключить отслеживание событий завершения работы во всех операционных системах Windows Server 2003 и Windows XP 64-Bit Edition версии 2003, отключать политику отслеживания событий завершения работы с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и выберите «ОК».
3. Раз развернуть конфигурацию компьютера, развернуть административные шаблоны, а затем развернуть «Система».
4. Дважды щелкните display Shutdown Event Tracker.
5. Выберите «Отключено» и «ОК»

Windows XP Professional

По умолчанию в Windows XP Professional отключено отслеживание событий завершения работы.

Чтобы включить отслеживание событий завершения работы в Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center Edition, включите политику отслеживания событий завершения работы с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите gpedit.msc и выберите «ОК».
3. Раз развернуть конфигурацию компьютера, развернуть административные шаблоны, а затем развернуть «Система».
4. Дважды щелкните display Shutdown Event Tracker.
5. Щелкните Включено.
6. В окне «Отслеживание событий завершения работы» выберите «Всегда» и выберите «ОК».

Отслеживание событий завершения работы не является функциональным компонентом в Windows XP Home Edition. Поэтому вы не можете использовать отслеживание событий завершения работы в Windows XP Home Edition.

Корпорация Майкрософт рекомендует не включить отслеживание событий завершения работы в Windows XP Professional, планшетном ПК с Windows XP или Windows XP Media Center Edition. Корпорация Майкрософт не поддерживает использование этого компонента в этих средах Windows XP.

Настраиваемые параметры для определения причины завершения работы

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Windows предоставляет список из восьми универсальных причин, по которым компьютер был отключен. Этот список можно изменить, включив в него собственные настраиваемые причины. Чтобы добавить собственные причины, выполните следующие действия:

Откройте редактор реестра.

Найдите и выберите следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Reliability\UserDefined

В меню «Правка» выберите «Новый» и «Много строка». При этом создается новый ключ с временным именем «New Value».

Введите имя ключа реестра в следующем формате и нажмите клавишу ВВОД: UI_control_flags; major_reason_number; minor_reason_number
Раздел UI_control_flags имени значения может содержать одно или несколько из следующих значений:

• P (указывает, что причина запланирована. Если это значение опущено, значение по умолчанию является незапланированным.)
• C или B (указывает, что требуется комментарий).)
• S (указывает, что причина должна отображаться в диалоговом окне завершения работы, инициированном пользователем.)
• Г (указывает, что причина должна отображаться в диалоговом окне неожиданного завершения работы.) Например, если вы хотите, чтобы причина отображалась в диалоговом окне неожиданного завершения работы, завершение работы будет незапланированным, а завершение работы соответствует основной причине 2 и по второстепенной причине 2, введите следующее имя значения: D;2;2

Дважды щелкните новый ключ и определите данные значения в следующем формате:

Каждое значение состоит из двух строк на отдельных строках; Первая строка является заголовком (она отображается в списке), а вторая строка — описанием (это текст, который отображается по выбранной причине).

Например, если вы хотите создать настраиваемую причину аварии, можно определить данные значения следующим образом: Natural Disaster (unplanned)

Чтобы компьютер был выключен, необходимо, чтобы компьютер был остановлен из-за затравки, а также от хлама или другого незапланированного естественного события. Укажите естественное событие в области комментария.

Как найти журнал завершения работы в Windows 10

Windows отслеживает процесс завершения работы и записывает все происходящие в этом момент события в системный журнал. В сегодняшней статье мы рассмотрим как найти журнал завершения работы в Windows 10.

В Windows есть три события связанные с выключением компьютера или его перезагрузкой:

• событие 6008 – неправильное завершение работы. Данное событие появляется в журнале если ваш компьютер был резко отключен, может свет пропал или на экране появился синий экран и компьютер ушел в перезагрузку.
• событие 6006 – компьютер правильно завершил свою работу.
• событие 1074 – процесс завершения был инициирован приложением. К примеру, Windows установила обновления и в процессе их установки нужно было перезагрузить компьютер.

Найти журнал завершение работы

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr.msc и нажмите клавишу Enter.

2. В левой колонке выберите “Журналы Windows” => “Система” => с правой стороны выберите “Фильтр текущего журнала”.

3. В строку ниже “Включение или исключение кодов событий” введите 1074, 6006, 6008 и нажмите “ОК”.

Перед вами журнал показывающий только события связанные с завершением работы компьютера.

На сегодня всё, если вы знаете другие способы – пишите в комментариях! Счастья Вам 🙂

Как включить отслеживание событий завершения работы в Windows 10

Когда пользователь выключает компьютер из меню Пуск, Windows завершает работу сразу. Так и должно быть, но есть случаи, когда для завершения работы операционной системы может понадобиться подтверждение. Например, администратору необходимо как можно дольше продержать систему в состоянии простоя, предотвращая ее перезапуск встроенным или сторонним программным обеспечением. Также это может понадобиться для регистрации причин незапланированной перезагрузки или выключения компьютера.

Для этого в Windows 10 есть такая функция как Trackdown Event Tracker. Если ее включить, система станет записывать указанную пользователем причину перезагрузки или завершения работы в специальный раздел журнала событий. Активировать ее можно с помощью редактора локальных групповых политик и редактора реестра. Используйте какой вам удобнее.

Запустите редактор политик командой gpedit.msc и перейдите по цепочке Конфигурация компьютера -> Административные шаблоны -> Система.

Прокрутив список параметров вниз, найдите в правой колонке настройку «Отображать средство регистрации событий завершения работы».

Кликните по ней дважды и установите радиокнопку в положение «Включено».

Значение параметра отображения выбираем или оставляем «Всегда».

Теперь, если вы попробуете выключить или перезагрузить ПК через меню Пуск, в левом нижнем углу появится меню, в котором вам будет предложено выбрать причину выключения или перезагрузки.

Изменится вид и диалогового окошка Alt + F4 , в нем также появится аналогичное меню.

Если компьютер будет выключен внезапно или перезагружен принудительно, после загрузки на рабочем столе появится окно с формой, в которой пользователя попросят указать вероятную причину непредвиденного завершения работы и добавить при желании свой комментарий.

Вот так работает Trackdown Event Tracker. Пара моментов, о которых следует знать — выходы из учетной записи подтверждения не требуют, выключение или перезагрузка командой shutdown с параметрами /s или /r выполняется в обычном режиме без регистрации.

Если захотите включить функцию через реестр, разверните в нем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability (последнего подкаталого может и не быть) и создайте в подразделе Reliability два DWORD -параметра.

С именами ShutdownReasonOn и ShutdownReasonUI. В качестве значения обоих параметров установите 1.

Новые настройки вступят с силу после перезагрузки компьютера. Для отключения функции измените значения на 0 или просто удалите созданные параметры.

История включения компьютера Windows

Могут быть разные ситуации, когда необходимо посмотреть историю включения и отключения компьютера. Эта информация может быть полезна не только системным администраторам в целях устранения неполадок. Также проверки времени запуска и завершения работы компьютера, может быть хорошим средством контроля пользователей.

В этой статье мы обсудим два способа отслеживания времени выключения и запуска ПК.

1. Просмотр истории включения и отключения компьютера в журнале событий Windows
2. Просмотр истории включения и отключения компьютера с помощью программы TurnedOnTimesView

Первый способ сложнее, но не требует использования дополнительных программ. Второй намного проще, программа бесплатная и не требует установки.

История включения компьютера в журнале событий Windows

Windows Event Viewer — это отличный инструмент Windows, который сохраняет все системные события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows.

Средство просмотра событий также регистрирует время начала и окончания службы журнала событий. Мы можем использовать это время, чтобы понять, когда был запущен или выключен компьютер.

События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте пройдем через весь процесс извлечения этой информации из журнала Windows.

1. Откройте журнал Windows (Event Viewer). Для этого нажмите клавиши Win + R и в появившемся окне введите eventvwr. Просмотр событий в журнале событий Windows
2. На левой панели откройте Журналы Windows —>Система. Система просмотра событий в журнале событий Windows
3. В средней панели вы увидите список событий, которые произошли во время работы Windows. Наша задача — отобразить только три события. Давайте сначала отсортируем журнал событий по идентификатору события. Нажмите на метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события. Просмотр событий Сортировка событий
4. Если журнал событий большой, сортировка не будет работать. Вы также можете создать фильтр из панели действий на правой стороне. Просто нажмите «Фильтровать текущий журнал».
5. Введите 6005, 6006 в поле Идентификаторы событий, помеченные как . Вы также можете указать период времени в разделе Журнал. Журнал запуска ПК Завершение журнала просмотра событий Фильтр Журнал

• Событие с кодом 6005 будет помечено как «Служба журнала событий была запущена». Это синоним запуска системы.
• Событие с кодом 6006 будет помечено как «Журнал событий был остановлен». Это синоним выключения системы.

Если вы хотите дополнительно изучить журнал событий, вы можете просмотреть код события 6013, который будет отображать время работы компьютера, а код события 6009 указывает информацию о процессоре, обнаруженную во время загрузки. Событие с кодом 6008 сообщит вам, что система запустилась после того, как она не была выключена должным образом.

История включения компьютера с TurnedOnTimesView

TurnedOnTimesView — это простой, портативный инструмент для анализа журнала событий на время запуска и завершения работы. Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети.

Поскольку это портэйбл версия (не требует установки), вам нужно всего лишь распаковать и запустить файл TurnedOnTimesView.exe. В нем сразу будут перечислены время запуска, время выключения, продолжительность времени безотказной работы между каждым запуском и выключением, причина выключения и код выключения.

event_turnedonview

Причина выключения обычно связана с компьютерами Windows Server, где мы должны указать причину, когда мы выключаем сервер.

Чтобы просмотреть время запуска и завершения работы удаленного компьютера, перейдите в «Параметры —> Дополнительные параметры» и выберите «Источник данных как удаленный компьютер». Укажите IP-адрес или имя компьютера в поле «Имя компьютера» и нажмите кнопку «ОК». , Теперь список покажет детали удаленного компьютера.

event_remote_computer

Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит для этой цели с очень простым интерфейсом и точными данными. С какой целью вы контролируете время запуска и выключения вашего компьютера? Какой метод вы предпочитаете для мониторинга?