Visualizza i registri di Tracker eventi di arresto in Windows Server 2008 R2

39

Sto provando a visualizzare i registri di Tracking eventi di arresto nel Visualizzatore eventi, su Windows Server 2008 r8, ma non riesco a trovare i messaggi forniti quando ho riavviato il server in precedenza.

Dove nel Visualizzatore eventi posso vedere questi registri?

windows-server-2008-r2 eventviewer

— stacker
fonte

57

Apri il visualizzatore eventi. Espandi i log di Windows. Fare clic su sistema, quindi trovare o filtrare l'ID evento 1074. Verranno visualizzati tutti i registri di arresto.

— Giacobbe
fonte

grazie, è molto utile. Windows non semplifica la navigazione nei registri senza sapere cosa stai cercando

— Gordon Carpenter-Thompson,

16

È inoltre necessario includere 1076 (arresto non pianificato) e filtro per l'utente di origine32

8

Anche l'evento 6008 "Unexpected Shutdown" potrebbe essere interessante ...

— Nenotlep,

@Jacob, come si ottiene l'elenco degli ID evento e ciò che rappresentano?

— Pacerier,

1

@Pacerier Buona fortuna .... ma ecco un inizio: eventid.net

— leeand00,

12

So che questa è una domanda molto antica. Ma questo potrebbe aiutare qualcuno che sta cercando la stessa soluzione. è possibile utilizzare una singola riga in PowerShell (che è disponibile in tutti i sistemi operativi dopo Windows 2003) per scoprire la cronologia del riavvio. Basta aprire powershell.exe dal prompt di esecuzione e immettere il comando seguente.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

— gbabu
fonte

9

Se tu o altri state solo cercando di trovare il tempo di avvio più recente, il modo più semplice che ho trovato è eseguirlo in cmd:

systeminfo | find "System Boot Time"

Da powercram.com

— chiodo senza testa
fonte

Se non vedi nulla, rimuovi semplicemente la ricerca. Non avevo quelle informazioni lì, ma avevo "System Up Time".

— Nenotlep,

@Nenotlep, migliore è fare semplicemente un caso di ricerca insensitive di: systeminfo | find /i "system" | find /i "time". Funziona su tutti i sistemi

— Pacerier,

2

Un altro approccio utile che ho trovato, dal momento che monitoriamo frequentemente i nostri server ospitati ISP per interruzioni, è quello di creare una vista personalizzata degli eventi come segue:

Apri il Visualizzatore eventi quindi

Fare clic con il tasto destro su Viste personalizzate
Fai clic su Crea vista personalizzata
Nella scheda Filtro
- Mantieni l'accesso come sempre
- Seleziona tutti i tipi di livello di evento (Critico, Avviso, ecc.)
- Scegli per fonte = Registri di Windows> Sistema
- Per ID evento nella sezione ID evento Include / Excludes immettere 1074 per l'ID evento
Fai clic su OK
Immettere quindi un nome come Eventi di arresto e qualsiasi descrizione
Fare di nuovo clic su OK per completare il registro eventi personalizzato.

La tua nuova vista personalizzata dovrebbe apparire nell'elenco delle viste personalizzate con il filtro corretto applicato.

— Jacques
fonte

1

Sulla base delle altre risposte, ho modificato questo passaggio per le mie opinioni:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID

— Jeroen Wiert Pluimers

1

Powershell leggermente più pulito che utilizzo per filtrare gli EventID relativi allo spegnimento:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Per limitare questo solo alle proprietà più utili:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

In alternativa, per cercare per testo del messaggio:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

— Amit Naidu
fonte

0

Espandere The Windows Logsin The Event ViewerApplicazione e selezionare System. Quindi in The System Panel, di solito appare nel mezzo, ordinali per Livello o ID.

Fai clic su ogni voce per vedere la descrizione nel pannello in basso

— m.r226
fonte