Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Как узнать, почему компьютер с Windows аварийно выключается или зависает

Компьютерам свойственно периодически зависать или аварийно выключаться. Вам тоже наверняка хоть раз приходилось обнаружить, что Windows самопроизвольно перезагрузилась. В таком случае, скорее всего, работа системы завершилась синим экраном смерти, пока вы не видели. Первый шаг в решении любых подобных проблем – поиск более подробной информации об ошибке.

Это позволит выявить причину неполадок. Например, системные утилиты могут указать на проблемы с определенным драйвером. В таком случае либо сам драйвер работает некорректно, либо неисправно устройство, для которого он предназначен. В любом случае, у вас появится информация для дальнейшего поиска решения.

Проверка Монитора стабильности системы

Монитор стабильности системы (Reliability Monitor) показывает информацию о недавних сбоях системы и приложений в простом удобном интерфейсе. Он появился еще в Windows Vista и присутствует во всех современных версиях Windows. Чтобы его запустить, нажмите клавишу [Win] и введите ключевое слово «стабильность» (Reliability). Выберите в результатах «Просмотр журнала надежности системы» (View reliability history).

Если Windows зависала или аварийно завершала работу, в журнале будет информация о сбое Windows (Windows failure). Также журнал содержит сведения о сбоях приложений (Application failures). Есть и другие полезные данные – например, даты установки различных программ. Если проблемы появились после установки определенного приложения или драйвера, можно предположить, что причина именно в нем.

Здесь же можно нажать ссылку «Проверить наличие решений для всех проблем» (Check for solutions to problems), чтобы найти справочную информацию. Впрочем, пользы от этой справки мало и решения в ней находятся редко, если судить по нашему опыту. В лучшем случае будет рекомендовано обновить драйверы.

Монитор стабильности системы хорош тем, что показывает информацию из «Просмотра событий» (Event Viewer) в более понятном формате. Если бы не он, пришлось бы выуживать сведения о событиях из общего журнала самостоятельно.

В принципе, это все равно можно сделать. Выполните поиск в меню «Пуск» (Start)/на начальном экране по ключевым словам «просмотр событий». В открывшемся окне выберите пункт «Журналы Windows > Система» (Windows Logs > System) и ищите сообщения об ошибках (Error). Это те же сообщения, что показывает Монитор стабильности системы. Но в «Просмотре событий» кроме этого масса лишних сведений.

Просмотр дампов памяти

При сбое и возникновении синего экрана информация об этом сохраняется в дампе памяти. Удобнее всего смотреть эти сведения с помощью бесплатной утилиты BlueScreenView от NirSoft (обычно мы сторонние программы не рекомендуем, но NirSoft доверяем).

Утилита проверяет файлы дампов памяти, созданных при возникновении синего экрана, и показывает их список. Важная информация содержится в пункте «Bug Check String» – это то самое сообщение об ошибке, которое появляется на синем экране. Если поискать по этому сообщению в Интернете, можно найти сведения о проблеме и способах ее решения.

Может пригодиться и список драйверов внизу окна. Так, постоянное возникновение синего экрана может быть связано с определенным файлом того или иного драйвера, например, видеокарты. Это может свидетельствовать о том, что данный драйвер неисправен или сбоит из-за поломки самого оборудования. В любом случае, это поможет определиться с дальнейшим направлением поисков.

Если вы успели застать синий экран лично, запишите сообщение об ошибке. В Windows 10 и Windows 8 синий экран теперь выводит простое сообщение, и только внизу содержится информация об ошибке, которая может пригодиться для поисков. В Windows 7 и более ранних версиях эти данные (bug check string) отображаются не внизу, а наверху.

Сообщения об ошибке быстро исчезают, поскольку после синего экрана Windows автоматически перезагружается. Можно, конечно, отключить в настройках автоматическую перезагрузку при возникновении синего экрана. А можно просто использовать утилиту BlueScreenView для просмотра информации об ошибке уже после появления синего экрана.

Но в чем проблема?

Перечисленные выше инструменты помогут приблизиться к пониманию сути проблемы. По сообщению об ошибке с синего экрана можно хотя бы поискать в Интернете – и возможно, найти причину. Это гораздо лучше, чем пытаться найти ответ на общий вопрос «почему компьютер зависает или выключается?».

Если компьютер завис или перезагрузился всего один раз, волноваться не стоит. Программное обеспечение не совершенно – возможно, это была случайная ошибка Windows или драйвера, которая больше не повторится. Беспокоиться стоит, если компьютер сбоит постоянно. Современным компьютерам с Windows это совсем не свойственно – синие экраны возникают исключительно редко.

Если сбои происходят постоянно, возможно, лучше даже не тратить время на поиск причины, а просто выполнить восстановление компьютера (PC Reset) средствами Windows 10 или Windows 8. Система будет возвращена в исходное заводское состояние, что исправит все внутрисистемные ошибки, удалит проблемные драйверы и приложения. Нужные программы потребуется переустанавливать. А в случае с Windows 7 стоит просто переустановить систему. Если это не поможет – причина, скорее всего, в оборудовании (либо, если после переустановки были поставлены те же драйверы, – в драйверах).

Может пригодиться также средство диагностики проблем с памятью (Memory Diagnostics), встроенное в Windows. Оно проверяет, корректно ли работают модули памяти. Если они повреждены, это может быть причиной нестабильности и возникновения синих экранов.

Служба журнала событий Windows не запускается или недоступна

Служба журнала событий Windows поддерживает набор журналов событий, которые система, компоненты системы и приложения используют для записи событий. Служба предоставляет функции, которые позволяют программам вести журналы событий и управлять ими, а также выполнять операции с журналами, такие как архивирование и очистка. Таким образом, администраторы могут вести журналы событий и выполнять административные задачи, требующие прав администратора.

Служба журнала событий Windows не запускается или не работает

По какой-то неизвестной причине, если вы обнаружите, что у вас возникают проблемы с запуском следующего, вполне возможно, что одной из причин может быть то, что служба журнала событий Windows не работает.

• Диспетчер задач
• Календарь событий Windows
• Папки обмена сообщениями

В таком случае вы можете получить сообщения об ошибках, такие как:

Служба журнала событий недоступна. Убедитесь, что служба работает

Windows не удалось запустить службу журнала событий Windows на локальном компьютере

Сначала перезагрузите систему и посмотрите, поможет ли это. Иногда простой перезапуск помогает повторно инициализировать этот сервис. Если журнал событий Windows отображается как запущенный, перезапустите его из диспетчера служб.

Чтобы проверить, запущена или остановлена ​​служба журнала событий Windows, запустите services.msc и нажмите Enter, чтобы открыть диспетчер служб. Здесь снова щелкните правой кнопкой мыши Службу журнала событий Windows и проверьте ее свойства.

Убедитесь, что тип запуска установлен на Автоматически и что службы Запущены ; и что он работает в учетной записи Локальная служба .

Также убедитесь, что на вкладке «Восстановление» во всех трех раскрывающихся списках отображается опция «Перезапустить службу» в случае сбоя. Перезагрузите, если требуется.

Иногда служба журнала событий Windows по-прежнему не запускается, и вместо этого вы можете получить следующее сообщение об ошибке:

Система не может найти указанный файл

В этом случае откройте следующую папку:

C: \ Windows \ System32 \ winevt \ Logs

Эта папка журналов содержит журналы событий в формате .evtx и может быть прочитана только с помощью средства просмотра событий . Дайте этой папке журналов Права на чтение и запись и посмотрите, поможет ли это.

Вы также можете сделать следующее.

Откройте редактор реестра и перейдите к следующему ключу:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog

Дважды нажмите ObjectName и убедитесь, что его значение установлено в NT AUTHORITY \ LocalService . Если это не так, то измените его.

Если это по-прежнему не помогает, запустите средство проверки системных файлов и просмотрите его журналы.

Где и как посмотреть журнал ошибок Windows 10

Часто бывает, что компьютер без видимых причин перезагружается, зависает, перестает работать. Если на нем установлена современная операционная система, такая как Windows 10, можно легко выяснить причину неполадок. Для этого необходимо знать, как посмотреть ошибки Windows 10 и что они означают.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как открыть журнал и посмотреть ошибки

Существует несколько способов, как открыть журнал событий.

Панель управления

1. Открыть Поиск Windows и ввести «Панель управления».

Консоль Выполнить

Одновременно нажать клавиши «Win» и «R» и во всплывающем окне строки «Открыть» ввести eventvwr.msc и нажать Ввод.

Меню Пуск

Нажать правой кнопкой мыши на «Пуск» и выбрать во всплывающем списке «Выполнить», ввести eventvwr.msc и нажать ввод.

Поиск Виндовс 10

Ввести в меню поиска Windows 10 фразу «Просмотр событий» или «Журнал» и нажать Ввод.

В появившемся окне программы есть вкладка «Обзор и сводка», ниже которой находится подменю «Сводка административных событий», содержащее раскрывающиеся списки, содержащие такую информацию: критические события, ошибки, предупреждения, сведения и аудит успеха.

При раскрытии этих списков появляются строки о том, что происходило в системе. Самыми важными являются критические события и ошибки. В строке, описывающей ошибку, есть ее код, источник и сколько раз она появлялась последние 24 часа и 7 дней. При двойном нажатии строки появляется окно с подробным описанием возникшей проблемы, точным временем, когда она произошла и другие важные сведения.

Можно также воспользоваться журналами событий Windows 10, меню которых находится в левой колонке программы «Просмотр событий». Здесь доступны журналы приложений, безопасности и системы. Последний как раз и содержит сведения о наиболее важных сбоях, происходящих в системе, например о проблемах в работе драйверов, системных программ и другие важные сведения.

Внимательное исследование имеющихся записей в журналах очень полезно для обеспечения бесперебойной работы компьютера. Например, наличие критического события Kernel power 41 может свидетельствовать о проблемах с блоком питания, его перегреве или недостаточной мощности для вашего компьютера. Кроме того, журналы могут помочь и в решении проблем со сбоями в работе отдельных программ благодаря использованию журнала приложений.

Заключение

Чтобы ваш компьютер не подводил в самый неподходящий момент, нужно обязательно знать, где находится журнал ошибок Windows 10 и, хотя бы раз в неделю открывать и изучать его.