код события перезагрузки windows
Windows: Shutdown/Reboot Event IDs – Get Logs
While troubleshooting an issue that causes an unexpected reboot or shutdown of a Windows machine, it is important to know which event IDs are related to system reboot/shutdown and how to find the appropriate logs.
In this note i am publishing all the event IDs related to reboots/shutdowns.
I am also showing how to display the shutdown events with date and time, using a Windows Event Viewer or from the command-line using a PowerShell.
Cool Tip: How to boot Windows in Safe Mode! Read more →
Shutdown Event IDs
The list of the Windows event IDs, related to the system shutdown/reboot:
| Event ID | Description |
|---|---|
| 41 | The system has rebooted without cleanly shutting down first. |
| 1074 | The system has been shutdown properly by a user or process. |
| 1076 | Follows after Event ID 6008 and means that the first user with shutdown privileges logged on to the server after an unexpected restart or shutdown and specified the cause. |
| 6005 | The Event Log service was started. Indicates the system startup. |
| 6006 | The Event Log service was stopped. Indicates the proper system shutdown. |
| 6008 | The previous system shutdown was unexpected. |
| 6009 | The operating system version detected at the system startup. |
| 6013 | The system uptime in seconds. |
Display Shutdown Logs in Event Viewer
The shutdown events with date and time can be shown using the Windows Event Viewer.
Start the Event Viewer and search for events related to the system shutdowns:
Cool Tip: Get history of previously executed commands in PowerShell! Read more →
Find Shutdown Logs using PowerShell
For example, to filter the 10000 most recent entries in the System Event Log and display only events related to the Windows shutdowns, run:
Cool Tip: Start/Stop a service in Windows from the CMD & PowerShell! Read more →
Код события перезагрузки windows
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Windows: Лог Выключений/Перезагрузок
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
| Event ID | Описание |
|---|---|
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
| 6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
Дельный Совет: История команд в PowerShell! Читать далее →
Логи Выключений в PowerShell
Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:
После выключения и перезагрузки компьютера в журнале событий регистрируется событие с кодом 6008
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Проблема
При перезагрузке компьютера после того, как программа, использующая функцию InitiateSystemShutdownEx, отключает его автоматически, в журнале событий системы может быть зарегистрировано следующее событие:
Источник: Журнал событий
Тип: Ошибка
Описание:
Предыдущее завершение работы системы в Time Date было неожиданным.
Причина
Такое поведение наблюдается в случае одновременного выполнения следующих условий.
Компьютер заблокирован или настроен на работу с экранной заставкой, защищенной паролем.
Завершение работы инициируется автоматически программой, использующей функцию InitiateSystemShutdownEx с флагом срочности.
Например, используется программа удаленного завершения работы (Shutdown.exe) из пакета Microsoft Windows 2000 Resource Kit, чтобы принудительно отключить компьютер с удаленного компьютера, или отключение локального компьютера программой Shutdown.exe запланировано с помощью команды at или планировщика заданий.
В такой ситуации служба журнала событий не получает уведомление о событии завершения работы, и поэтому завершение работы обрабатывается службой как непредвиденное событие.
Решение
Сведения об исправлении
Поддерживаемая функция изменяет стандартное поведение продукта корпорации Майкрософт. При этом она предназначена только для изменения поведения, описанного в этой статье. Ее следует применять только в тех системах, в которых это необходимо.
Если функция доступна для загрузки, в начале этой статьи базы знаний отображается раздел «Исправление доступно для загрузки». Если этот раздел отсутствует, обратитесь в службу поддержки пользователей Майкрософт, чтобы получить функцию.
Примечание. Если возникли другие проблемы или необходимо устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с этой функцией, оплачиваются на стандартных условиях. Чтобы получить полный список телефонных номеров службы поддержки пользователей корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите веб-сайт Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ws=support?ln=ruПримечание. В форме «Исправление доступно для загрузки» отображаются языки, для которых доступна эта функция. Если нужный вам язык не отображается, это означает, что функция для данного языка отсутствует.Английская версия исправления содержит атрибуты файлов, приведенные в следующей таблице или более поздние. Дата и время для файлов указаны в формате универсального всемирного времени (UTC). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы выяснить разницу между временем в формате UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
Date Time Version Size File name
—————————————————————
15-Aug-2002 08:34 5.0.2195.5265 42,256 Basesrv.dll
15-Aug-2002 08:34 5.0.2195.5907 222,992 Gdi32.dll
15-Aug-2002 08:34 5.0.2195.6011 708,880 Kernel32.dll
15-Aug-2002 08:34 5.0.2195.4733 332,560 Msgina.dll
15-Aug-2002 08:34 5.0.2195.6000 379,664 User32.dll
15-Aug-2002 08:34 5.0.2195.5968 369,936 Userenv.dll
08-Aug-2002 15:23 5.0.2195.6003 1,642,416 Win32k.sys
15-Aug-2002 08:30 5.0.2195.6013 179,472 Winlogon.exe
15-Aug-2002 08:34 5.0.2195.5935 243,472 Winsrv.dll
Статус
Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к».
Дополнительная информация
Для получения дополнительных сведений об использовании программы удаленного завершения работы (Shutdown.exe) для выключения и перезагрузки локального или удаленного компьютера под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
317371 Выключение и перезагрузка компьютера под управлением Windows 2000 с помощью программы удаленного завершения работы
Для получения дополнительных сведений об установке нескольких обновлений с одной перезагрузкой компьютера щелкните следующий номер статьи базы знаний Майкрософт:
296861 Установка нескольких обновлений Windows с выполнением только одной перезагрузки системы
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
883635 После запуска заставки Windows на компьютере под управлением Windows 2000 Server может произойте аварийное выключение компьютера
Коды причин завершения работы системы
_ _ Система будет обрабатывать не более максимального количества причин, по которым коды причин будут обработаны системой. Максимальное _ число _ причин определяется в Reason. h.
Ниже приведены основные флаги причин. Они указывают на общий тип проблемы.
Ниже приведены незначительные флаги причин. Они изменяют указанный флаг основной причины. Можно использовать любую второстепенную причину в сочетании с любой основной причиной, но некоторые сочетания не имеют смысла.
| Константа/значение | Описание |
|---|---|
| Штдн _ Причина _ незначительного _ блуескрин 0x0000000F | Событие сбоя синего экрана. |
| Штдн _ Причина _ незначительного _ кордунплугжед 0x0000000b | Отсоединено. |
| Штдн _ Причина _ второстепенного _ диска 0x00000007 | (Краткосрочная защита с использованием:) и вариант «Диск». |
| Штдн _ Причина _ промежуточного _ окружения 0x0000000c | Среда. |
| Штдн _ Причина _ незначительного _ аппаратного _ драйвера 0x0000000d | Аудиодрайвера. |
| Штдн _ Причина _ незначительного _ исправления 0x00000011 | Горячее исправление. |
| Штдн _ Причина _ незначительного _ _ удаления исправления 0x00000017 | Удаление горячего исправления. |
| Штдн _ Причина _ незначительной _ зависших 0x00000005 | Отвечает. |
| Штдн _ Причина _ незначительной _ установки 0x00000002 | Установка. |
| Штдн _ Причина _ незначительного _ обслуживания 0x00000001 | Обслуживание. |
| Штдн _ Причина _ незначительного 0x00000019 _ MMC | Проблемы с MMC. |
| Штдн _ Причина _ незначительного _ сетевого _ подключения 0x00000014 | сетевое подключение; |
| Штдн _ Причина _ незначительного _ нетворккард 0x00000009 | Сетевая карта. |
| Штдн _ _Дополнительный номер _ причины в 0x00000000 | Другая ошибка. |
| Штдн _ Причина _ незначительного _ осердривер 0x0000000e | Другое событие драйвера. |
| Штдн _ Причина _ незначительного _ _ источника питания 0x0000000A | Источник питания. |
| Штдн _ Причина _ незначительного 0x00000008 _ процессора | Процессор. |
| Штдн _ _Незначительная _ перенастройка по причине 0x00000004 | Перенастроить. |
| Штдн _ Причина _ незначительного 0x00000013 _ безопасности | Проблемы безопасности. |
| Штдн _ Причина _ незначительного _ секуритификс 0x00000012 | Исправление для системы безопасности. |
| Штдн _ Причина _ незначительного _ _ удаления секуритификс 0x00000018 | Удаление исправления безопасности. |
| Штдн _ Причина _ незначительного _ SERVICEPACK 0x00000010 | Пакет обновления. |
| Штдн _ Причина _ незначительного _ _ удаления SERVICEPACK 0x00000016 | Удаление пакета обновления. |
| Штдн _ Причина _ второстепенного дополнительного _ termsrv | Службы терминалов. |
| Штдн _ Причина _ _ неустойчивых нестабильных 0x00000006 | Работе. |
| Штдн _ Причина _ незначительного _ обновления 0x00000003 | Обновление. |
| Штдн _ Причина _ незначительного 0x00000015 _ WMI | Ошибка WMI. |
Следующие необязательные флаги содержат дополнительные сведения о событии.
Remarks
Система распознает следующие сочетания. В таблице указывается строка, отображаемая в средстве регистрации событий завершения работы, и приводится более подробное описание. Строка по умолчанию — «не удалось найти заголовок по этой причине».
Можно также определить собственные причины завершения работы и добавить их в реестр. каждый код причины должен храниться в виде значения реестра в следующем разделе:HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ надежность \ пользователяопределенные \
Этот раздел содержит имена значений следующего вида: XXXXX; nnn; nnnnn. Точки с запятой разделяют компоненты имени значения.
От одного до пяти следующих управляющих флагов (другие символы использовать нельзя).
| Флаг | Описание |
|---|---|
| С | Запланированное завершение работы; в противном случае — незапланированное завершение работы. |
| C | Требуется комментарий. Этот флаг должен использоваться с параметром S. |
| B | Требуется указать идентификатор. Этот флаг должен использоваться с D. |
| S | Отображение диалогового окна ожидаемое завершение работы. Необходимо использовать либо S, D, либо и S, и D. |
| D | Отображение диалогового окна непредвиденное завершение работы. Необходимо использовать либо S, D, либо и S, и D. |
Порядок, в котором используются флаги, не важен. Например, CSP указывает на запланированное завершение работы, когда отображается ожидаемое диалоговое окно завершения работы, и требуется комментарий.
Основная причина. Этот компонент должен быть числом в диапазоне 64-255. Диапазон 0-63 зарезервирован для использования системой.
Второстепенная причина. Этот компонент должен находиться в диапазоне 0-65535.
Пользовательские причины сортируются в пользовательском интерфейсе по основному номеру причины, а затем по незначительному номеру причины. Ни одна из двух пользовательских причин не может использовать одни и те же основные и вспомогательные причины, если только она не запланирована, а другая не является незапланированной. В противном случае система будет использовать первый экземпляр и игнорировать остальные.
Данные для каждого значения реестра — это две строки, разделенные \ n \ r. Первая строка представляет собой строку заголовка, отображаемую в диалоговом окне Завершение работы, и записывается в журнал событий. Максимальный размер — 64 символов. Строки заголовка должны быть уникальными. Пользовательские заголовки не могут соответствовать стандартным заголовкам, определенным системой, или другим пользовательским заголовком. Вторая строка представляет собой строку описания, отображаемую в диалоговом окне Завершение работы. Это необязательно. Максимальный размер — 256 символов.