Вопрос: История перезапуска / завершения Windows Server


Как я могу легко просмотреть историю каждого раза, когда мой Windows Server перезагрузился или завершился, и почему, в том числе инициированные пользователем, инициированные системой и система разбилась?

Журнал событий Windows является очевидным ответом, но каков полный список событий, которые я должен просматривать?

Я нашел эти сообщения, которые частично отвечают на мой вопрос:

но они не охватывают каждый сценарий AFAIK, и информация трудно понять, потому что он распространяется по нескольким ответам.

У меня есть несколько версий Windows Server, поэтому решение, которое работает хотя бы для версий 2008, 2008 R2, 2012 и 2012 R2, было бы идеальным.


59
2017-07-01 13:19


Источник


В некоторых ситуациях Nirsoft TurnedOnTimesView может быть достаточно хорош. (nirsoft.net/utils/computer_turned_on_times.html) он показывает перезагрузки и время выключения. - Peter Hahndorf
Используете ли вы внешний инструмент мониторинга, например, opsview, nagios, icinga, shinken? Эти инструменты хранят результаты мониторинга в базе данных, а затем вы можете проверить, перезагружены ли серверы и когда, - 030


Ответы:


Самый ясный самый краткий ответ, который я мог найти, это:

который перечисляет эти идентификаторы событий для мониторинга (цитируется, но редактируется и переформатируется из статьи):

  • Идентификатор события 6005: «Служба журнала событий была запущена». Это синоним запуска системы.
  • Идентификатор события 6006: «Служба журнала событий была остановлена». Это синоним завершения работы системы.
  • Идентификатор события 6008: «Предыдущее завершение работы системы было неожиданным». Записывает, что система запускалась после того, как она не была закрыта должным образом.
  • Идентификатор события 6009: Указывает имя продукта, версию, номер сборки, номер пакета обновления и тип операционной системы, обнаруженные во время загрузки.
  • Идентификатор события 6013: отображает время работы компьютера. Для этого идентификатора нет страницы TechNet.

Добавьте к этому еще пару из ответов на ошибку сервера, перечисленных в моем OP:

  • Идентификатор события 1074: «Процесс X инициировал перезапуск / завершение работы компьютера от имени пользователя Y по следующей причине: Z." Указывает, что приложение или пользователь инициировали перезапуск или завершение работы.
  • Идентификатор события 1076: «Причина, по которой пользователь X за последнее неожиданное завершение работы этого компьютера: Y." Записывает, когда первый пользователь с привилегиями выключения регистрируется на компьютере после неожиданного перезапуска или выключения и указывает причину возникновения.

Я что-то пропустил?


74
2017-07-01 13:19



Чтобы различать потери мощности и перезагрузку из-за ошибки, найдите комбинацию идентификатора события 41 (источник: Microsoft-Windows-Kernel-Power) и идентификатора события 1001: (источник: проверка ошибок). Бывший без последнего указывает на потерю мощности или сброс. - sendmoreinfo
Это было полезно. Спасибо, johnC. В поле «Включить / Исключить поле ввода» в окне «Текущий текущий журнал» я ввел «6005, 6006, 6008, 6009, 6013, 1074, 1076», и он дал мне именно то, что мне было нужно. - joey
Вероятно, вы должны добавить Kernel-General с eventid 12, который, как правило, является первым событием, которое регистрируется после перезагрузки / перезагрузки и т. д. и показывает фактическое «время начала системы», то есть: «Операционная система началась в системное время 2017 - 09 - 19T02: 46: 06.582794900Z». - Abel
Ссылки в этом ответе нарушены - Tim Schmelter
Я искал, но не смог найти текущие документы Microsoft в кодах журналов событий, поэтому я создал проблему в github Microsoft Docs, чтобы получить консультацию / консенсус относительно того, где можно восстановить этот контент в новом режиме документов MS, github.com/MicrosoftDocs/windowsserverdocs/issues/444, @ tim-schmelter, пожалуйста, поддержите и добавьте свои мысли. - JohnC


Я просто оставил бы это как комментарий, так как JohnC в основном охватывал все, но мне пока этого не разрешено.

События, которые он описал, использовались довольно долгое время, поэтому они будут работать для любой из упомянутых вами ОС, а также для их настольных братьев. Страницы идентификаторов событий, с которыми он связан, например, 6006 на TechNet, укажите Windows Server 2003.

Если было изящное закрытие, пользователь инициировал или иным образом, вы также должны увидеть некоторые Идентификатор события 7036 сообщая вам, что различные службы «вошли в остановленное состояние». Когда машина снова запустится, вы увидите, что более 7036 пользователей объявили, что службы входят в текущее состояние.


3
2017-07-01 14:54



Вы также увидите большой блок идентификатора события 7036, если служба неоднократно циклически действует, поэтому это не лучший способ поиска перезапуска. Вы должны искать описанные события от JohnC, в первую очередь. - JTL