код перезагрузки windows в журнале
Код перезагрузки windows в журнале
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Журнал событий в Windows: как его открыть и найти информацию об ошибке
Доброго дня!
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).
Работа с журналом событий (для начинающих)
Как его открыть
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
eventvwr — команда для вызова журнала событий
Система и безопасность
Просмотр событий — Администрирование
Актуально для пользователей Windows 10/11.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.
Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
Для отключения журналов событий нужно:
Службы — журналы событий
Advanced troubleshooting for Event ID 41: «The system has rebooted without cleanly shutting down first»
Домашние пользователи Эта статья предназначена для использования агентами поддержки и ИТ-специалистами. Если вы ищете дополнительные сведения об ошибках синего экрана, посетите веб-сайт Устранение ошибок синего экрана.
Предпочтительный способ отключить Windows — выбрать **** Начните, а затем выберите вариант отключения или отключения компьютера. При использовании этого стандартного метода операционная система закрывает все файлы и сообщает работающим службам и приложениям, чтобы они могли записывать любые неохваченные данные на диск и смывать все активные кэши.
Если компьютер неожиданно отключится, Windows журнал Event ID 41 при следующем старте компьютера. Текст события напоминает следующее:
ID события: 41
Описание. Сначала система перезагружается без очистки.
Это событие указывает на то, что некоторые непредвиденные действия Windows правильного отключения. Такое отключение может быть вызвано перебоями в подаче питания или ошибкой Stop. Если это возможно, Windows записывая коды ошибок при его закрытии. На этапе ядра следующего запуска Windows, Windows проверяет эти коды и включает все существующие коды в данные событий event ID 41.
EventData
BugcheckCode 159
BugcheckParameter1 0x3
BugcheckParameter2 0xfffffa80029c5060
BugcheckParameter3 0xfffff8000403d518
BugcheckParameter4 0xfffffa800208c010
SleepInProgress false
PowerButtonTimestamp 0Converts 0x9f (0x3, 0xfffffa80029c5060, 0xfffff8000403d518, 0xfffffa800208c010)
Использование event ID 41 при устранении непредвиденных отключений или перезапуска
Сам по себе event ID 41 может не содержать достаточных сведений, чтобы четко определить, что произошло. Как правило, необходимо также учитывать, что происходило во время неожиданного отключения (например, сбой питания). Используйте сведения в этой статье, чтобы определить подход к устранению неполадок, соответствующий вашим обстоятельствам:
Сценарий 1. Компьютер перезапускается из-за ошибки stop, а код Event ID 41 содержит код stop error (проверка ошибки)
При отключении или перезапуске компьютера из-за ошибки stop Windows в качестве части дополнительных данных событий включаются данные об ошибке Stop в Event ID 41. Эта информация включает код ошибки Stop (также называемый кодом проверки ошибок), как показано в следующем примере:
EventData
BugcheckCode 159
BugcheckParameter1 0x3
BugcheckParameter2 0xfffffa80029c5060
BugcheckParameter3 0xfffff8000403d518
BugcheckParameter4 0xfffffa800208c010
Код события 41 включает код проверки ошибок в десятичной форме. Большинство документации, описывая коды проверки ошибок, относятся к кодам как к гексадецимальным значениям, а не к десятичных значениям. Чтобы преобразовать десятичной знак в hexadecimal, выполните следующие действия:
При преобразовании кода проверки ошибок в hexadecimal формат убедитесь, что за обозначением «0x» следуют восемь цифр (то есть часть кода после «x» содержит достаточно нулей для заполнения восьми цифр). Например, 0x9F документируется как 0x0000009f, а 0xA документируется как 0x0000000A. В примере данных событий в этой статье «159» преобразуется в 0x0000009f.
После определения значения hexadecimal используйте следующие ссылки для продолжения устранения неполадок:
Сценарий 2. Перезапуск компьютера, так как вы нажали и удерживали кнопку питания
Так как этот метод перезапуска компьютера мешает работе Windows, рекомендуется использовать этот метод только в том случае, если у вас нет альтернативы. Например, вам может потребоваться использовать этот подход, если компьютер не отвечает. Когда вы перезапустите компьютер, нажав кнопку питания и удерживая ее, компьютер включит в журнал event ID 41, который включает ненулевую величину для записи PowerButtonTimestamp.
О помощи при устранении неполадок на компьютере см. в Windows Help. Рассмотрите возможность поиска помощи с помощью ключевых слов, таких как «висеть», «отвечать» или «пустой экран».
Сценарий 3. Компьютер не реанимативно или случайно перезапускается, а код события 41 не записан, а запись Event ID 41 или перечисление значений кода ошибки нулевого значения.
Этот сценарий включает в себя следующие обстоятельства:
В таких случаях что-то Windows создания кодов ошибок или записи кодов ошибок на диск. Что-то может заблокировать доступ к записи на диск (как в случае с неответренным компьютером) или компьютер может закрыться слишком быстро, чтобы написать коды ошибок или даже обнаружить ошибку.
Сведения в Event ID 41 предоставляют некоторые сведения о том, с чего начать проверку на проблемы:
Код события 41 незаписан или код проверки ошибки нуль. Это поведение может указывать на проблему питания. Если отключена мощность компьютера, компьютер может отключиться без создания ошибки Stop. Если она создает ошибку Stop, она может не завершить написание кодов ошибок на диск. При следующем старте компьютера он может не войти в журнал Event ID 41. Или, если это так, код проверки ошибок нулевой. Причиной могут быть такие условия, как следующие:
Значение PowerButtonTimestamp нулевое. Такое поведение может произойти, если отключить питание на компьютер, который не отвечал на входные данные. Причиной могут быть такие условия, как следующие:
Как правило, описанные в этом сценарии симптомы указывают на проблему оборудования. Чтобы изолировать проблему, сделайте следующее:
Если вы выполняете эти проверки и все еще не можете изолировать проблему, установите систему в конфигурацию по умолчанию и убедитесь, что проблема по-прежнему возникает.
Если вы видите сообщение об ошибке Stop, которое содержит код проверки ошибок, но код event ID 41 не включает этот код, измените поведение перезагрузки для компьютера. Для этого выполните следующие действия:
Где находится журнал событий в Windows 10, как его просматривать и находить ошибки
Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.
События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.
Где находится журнал событий и как его открыть
Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка \Windows\system32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:
Что делать, если журнал событий не открывается
За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.
Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».
Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.
Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:
Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:
Структура просмотрщика журнала событий
Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.
Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.
Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.
Правая сторона содержит меню доступных операций с журналами.
Как искать в журналах событий интересующие сведения
Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.
Как пользоваться функцией фильтрации
Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».
Далее заполняем вкладку «Фильтр»:
Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:
Читать его стало гораздо удобнее.
Как создавать настраиваемые представления
Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.
Чтобы создать настраиваемое представление, сделайте следующее:
Источники, уровни и коды событий. Как понять, что означает конкретный код
Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.
Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:
Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.
Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.
Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.
Get System Info – альтернатива стандартному просмотрщику Windows
Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.
Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.
Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.
Как пользоваться Get System Info:
Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.
Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.
Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.
Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.
После выключения и перезагрузки компьютера в журнале событий регистрируется событие с кодом 6008
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Проблема
При перезагрузке компьютера после того, как программа, использующая функцию InitiateSystemShutdownEx, отключает его автоматически, в журнале событий системы может быть зарегистрировано следующее событие:
Источник: Журнал событий
Тип: Ошибка
Описание:
Предыдущее завершение работы системы в Time Date было неожиданным.
Причина
Такое поведение наблюдается в случае одновременного выполнения следующих условий.
Компьютер заблокирован или настроен на работу с экранной заставкой, защищенной паролем.
Завершение работы инициируется автоматически программой, использующей функцию InitiateSystemShutdownEx с флагом срочности.
Например, используется программа удаленного завершения работы (Shutdown.exe) из пакета Microsoft Windows 2000 Resource Kit, чтобы принудительно отключить компьютер с удаленного компьютера, или отключение локального компьютера программой Shutdown.exe запланировано с помощью команды at или планировщика заданий.
В такой ситуации служба журнала событий не получает уведомление о событии завершения работы, и поэтому завершение работы обрабатывается службой как непредвиденное событие.
Решение
Сведения об исправлении
Поддерживаемая функция изменяет стандартное поведение продукта корпорации Майкрософт. При этом она предназначена только для изменения поведения, описанного в этой статье. Ее следует применять только в тех системах, в которых это необходимо.
Если функция доступна для загрузки, в начале этой статьи базы знаний отображается раздел «Исправление доступно для загрузки». Если этот раздел отсутствует, обратитесь в службу поддержки пользователей Майкрософт, чтобы получить функцию.
Примечание. Если возникли другие проблемы или необходимо устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с этой функцией, оплачиваются на стандартных условиях. Чтобы получить полный список телефонных номеров службы поддержки пользователей корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите веб-сайт Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ws=support?ln=ruПримечание. В форме «Исправление доступно для загрузки» отображаются языки, для которых доступна эта функция. Если нужный вам язык не отображается, это означает, что функция для данного языка отсутствует.Английская версия исправления содержит атрибуты файлов, приведенные в следующей таблице или более поздние. Дата и время для файлов указаны в формате универсального всемирного времени (UTC). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы выяснить разницу между временем в формате UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
Date Time Version Size File name
—————————————————————
15-Aug-2002 08:34 5.0.2195.5265 42,256 Basesrv.dll
15-Aug-2002 08:34 5.0.2195.5907 222,992 Gdi32.dll
15-Aug-2002 08:34 5.0.2195.6011 708,880 Kernel32.dll
15-Aug-2002 08:34 5.0.2195.4733 332,560 Msgina.dll
15-Aug-2002 08:34 5.0.2195.6000 379,664 User32.dll
15-Aug-2002 08:34 5.0.2195.5968 369,936 Userenv.dll
08-Aug-2002 15:23 5.0.2195.6003 1,642,416 Win32k.sys
15-Aug-2002 08:30 5.0.2195.6013 179,472 Winlogon.exe
15-Aug-2002 08:34 5.0.2195.5935 243,472 Winsrv.dll
Статус
Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к».
Дополнительная информация
Для получения дополнительных сведений об использовании программы удаленного завершения работы (Shutdown.exe) для выключения и перезагрузки локального или удаленного компьютера под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
317371 Выключение и перезагрузка компьютера под управлением Windows 2000 с помощью программы удаленного завершения работы
Для получения дополнительных сведений об установке нескольких обновлений с одной перезагрузкой компьютера щелкните следующий номер статьи базы знаний Майкрософт:
296861 Установка нескольких обновлений Windows с выполнением только одной перезагрузки системы
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
883635 После запуска заставки Windows на компьютере под управлением Windows 2000 Server может произойте аварийное выключение компьютера