История перезапуска / завершения работы Windows Server

Как я могу легко увидеть историю каждого перезапуска или выключения моего Windows Server и причину, в том числе инициированную пользователем, инициированную системой и сбой системы?

Журнал событий Windows — очевидный ответ, но какой полный список событий я должен просмотреть?

Я нашел эти сообщения, которые частично отвечают на мой вопрос:

• Время последней перезагрузки сервера Windows включает в себя несколько ответов, которые частично относятся к полной истории перезапуска
• Просмотр журналов событий завершения работы Windows Server 2008 R2 включает дополнительный идентификатор события
• Время Журнала событий, когда Компьютер запускается / загружается, включает в себя одни и те же идентификаторы событий

но они не охватывают каждый сценарий AFAIK, и информацию трудно понять, потому что она распределена по нескольким ответам.

У меня есть несколько версий Windows Server, поэтому решение, которое работает как минимум для версий 2008, 2008 R2, 2012 и 2012 R2, было бы идеальным.

Самый ясный и краткий ответ, который я смог найти:

который перечисляет эти идентификаторы событий для мониторинга (цитируется, но редактируется и переформатируется из статьи):

• Код события 6005 ( альтернативный ): «Служба журнала событий была запущена». Это синоним запуска системы.
• Событие с кодом 6006 ( альтернативное ): «Служба журнала событий остановлена». Это синоним выключения системы.
• Событие с кодом 6008 ( альтернатива ): «Предыдущее отключение системы было неожиданным». Записи о том, что система запустилась после того, как не была корректно завершена.
• Идентификатор события 6009 ( альтернативный ): указывает имя продукта Windows, версию, номер сборки, номер пакета обновления и тип операционной системы, обнаруженные во время загрузки.
• Код события 6013: отображает время работы компьютера. Для этого идентификатора нет страницы TechNet.

Добавьте к этому еще пару ответов о сбое сервера, перечисленных в моем OP:

• Событие с кодом 1074 ( альтернатива ): «Процесс X инициировал перезагрузку / выключение компьютера от имени пользователя Y по следующей причине: Z». Указывает, что приложение или пользователь инициировали перезапуск или завершение работы.
• Событие с кодом 1076 ( альтернатива ): «Причина, указанная пользователем X для последнего неожиданного выключения этого компьютера: Y». Записывает, когда первый пользователь с правами на отключение входит в систему компьютера после неожиданного перезапуска или завершения работы и указывает причину возникновения.

Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Журнал перезагрузок windows server

Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.

И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.

у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.

В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,

можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.

В итоге у меня получилась вот такая картина

После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.

Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю

Еще отфильтруем по кодам событий с 1035-1040

И в итоге мы видим вот такое событие

Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.

Перезагрузка Windows сервера планировщиком заданий

Имеем Windows Server 2012 R2. Задача — автоматически перезагружать сервер каждый понедельник в 5 утра. Приступаем.

Запускаем Планировщик заданий, создаём в нём папку «reboot»:

Делаем Create Basic Task. Запускается мастер:

Указываем Name, Description:

Выбираем период Weekly. Next:

Указываем начало — ближайший понедельник 5 утра. Ставим галку Monday. Next:

Выбираем Start a program. Next:

В Program/script: пишем:

В Add arguments (optional):

• /r — перезагрузка,
• /f — принудительное закрытие всех приложений,
• /t 90 — время ожидания до начала перезагрузки 90 сек,
• /d p:0:0 — причины перезагрузки для журнала. В данном случае, мы указали: p — запланированная перезагрузка, 0:0 — «Other (planned)»,
• /c комментарий в свободной форме длинной не более 512 символов. Комментарий будет показываться юзерам 90 секунд. За это время можно отменить перезагрузку командой shutdown.exe /a.

Список параметров и причин перезагрузки можно посмотреть shutdown.exe /?

Мастер не доделали, кликаем Finish. Создаётся задача — редактируем её.

Ставим Run whether user is logged on or not. Добавим галку Run with highest privileges. Ok:

Нас попросят ввести имя пользователя, от имени которого будет выполняться задание. И пароль. Готово:

Сам пока не проверял результатов. В ближайший понедельник посмотрим.

Две недели прошло — шедулер нормально перезагружает сервер по понедельникам.

Перезагрузка Windows сервера планировщиком заданий

Имеем Windows Server 2012 R2. Задача — автоматически перезагружать сервер каждый понедельник в 5 утра. Приступаем.

Запускаем Планировщик заданий, создаём в нём папку «reboot»:

Делаем Create Basic Task. Запускается мастер:

Указываем Name, Description:

Выбираем период Weekly. Next:

Указываем начало — ближайший понедельник 5 утра. Ставим галку Monday. Next:

Выбираем Start a program. Next:

В Program/script: пишем:

В Add arguments (optional):

/r /f /t 90 /d p:0:0 /c «Перезапуск по понедельникам. Отмена: shutdown.exe /a»

• /r — перезагрузка,
• /f — принудительное закрытие всех приложений,
• /t 90 — время ожидания до начала перезагрузки 90 сек,
• /d p:0:0 — причины перезагрузки для журнала. В данном случае, мы указали: p — запланированная перезагрузка, 0:0 — «Other (planned)»,
• /c комментарий в свободной форме длинной не более 512 символов. Комментарий будет показываться юзерам 90 секунд. За это время можно отменить перезагрузку командой shutdown.exe /a.

Список параметров и причин перезагрузки можно посмотреть shutdown.exe /?

Мастер не доделали, кликаем Finish. Создаётся задача — редактируем её.

Ставим Run whether user is logged on or not. Добавим галку Run with highest privileges . Ok:

Нас попросят ввести имя пользователя, от имени которого будет выполняться задание, и пароль. Готово:

Две недели прошло — шедулер нормально перезагружает сервер по понедельникам.

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.