код события отключения компьютера
Windows: Лог Выключений/Перезагрузок
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
| Event ID | Описание |
|---|---|
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
| 6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
Дельный Совет: История команд в PowerShell! Читать далее →
Логи Выключений в PowerShell
Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:
Коды причин завершения работы системы
_ _ Система будет обрабатывать не более максимального количества причин, по которым коды причин будут обработаны системой. Максимальное _ число _ причин определяется в Reason. h.
Ниже приведены основные флаги причин. Они указывают на общий тип проблемы.
Ниже приведены незначительные флаги причин. Они изменяют указанный флаг основной причины. Можно использовать любую второстепенную причину в сочетании с любой основной причиной, но некоторые сочетания не имеют смысла.
| Константа/значение | Описание |
|---|---|
| Штдн _ Причина _ незначительного _ блуескрин 0x0000000F | Событие сбоя синего экрана. |
| Штдн _ Причина _ незначительного _ кордунплугжед 0x0000000b | Отсоединено. |
| Штдн _ Причина _ второстепенного _ диска 0x00000007 | (Краткосрочная защита с использованием:) и вариант «Диск». |
| Штдн _ Причина _ промежуточного _ окружения 0x0000000c | Среда. |
| Штдн _ Причина _ незначительного _ аппаратного _ драйвера 0x0000000d | Аудиодрайвера. |
| Штдн _ Причина _ незначительного _ исправления 0x00000011 | Горячее исправление. |
| Штдн _ Причина _ незначительного _ _ удаления исправления 0x00000017 | Удаление горячего исправления. |
| Штдн _ Причина _ незначительной _ зависших 0x00000005 | Отвечает. |
| Штдн _ Причина _ незначительной _ установки 0x00000002 | Установка. |
| Штдн _ Причина _ незначительного _ обслуживания 0x00000001 | Обслуживание. |
| Штдн _ Причина _ незначительного 0x00000019 _ MMC | Проблемы с MMC. |
| Штдн _ Причина _ незначительного _ сетевого _ подключения 0x00000014 | сетевое подключение; |
| Штдн _ Причина _ незначительного _ нетворккард 0x00000009 | Сетевая карта. |
| Штдн _ _Дополнительный номер _ причины в 0x00000000 | Другая ошибка. |
| Штдн _ Причина _ незначительного _ осердривер 0x0000000e | Другое событие драйвера. |
| Штдн _ Причина _ незначительного _ _ источника питания 0x0000000A | Источник питания. |
| Штдн _ Причина _ незначительного 0x00000008 _ процессора | Процессор. |
| Штдн _ _Незначительная _ перенастройка по причине 0x00000004 | Перенастроить. |
| Штдн _ Причина _ незначительного 0x00000013 _ безопасности | Проблемы безопасности. |
| Штдн _ Причина _ незначительного _ секуритификс 0x00000012 | Исправление для системы безопасности. |
| Штдн _ Причина _ незначительного _ _ удаления секуритификс 0x00000018 | Удаление исправления безопасности. |
| Штдн _ Причина _ незначительного _ SERVICEPACK 0x00000010 | Пакет обновления. |
| Штдн _ Причина _ незначительного _ _ удаления SERVICEPACK 0x00000016 | Удаление пакета обновления. |
| Штдн _ Причина _ второстепенного дополнительного _ termsrv | Службы терминалов. |
| Штдн _ Причина _ _ неустойчивых нестабильных 0x00000006 | Работе. |
| Штдн _ Причина _ незначительного _ обновления 0x00000003 | Обновление. |
| Штдн _ Причина _ незначительного 0x00000015 _ WMI | Ошибка WMI. |
Следующие необязательные флаги содержат дополнительные сведения о событии.
Remarks
Система распознает следующие сочетания. В таблице указывается строка, отображаемая в средстве регистрации событий завершения работы, и приводится более подробное описание. Строка по умолчанию — «не удалось найти заголовок по этой причине».
Можно также определить собственные причины завершения работы и добавить их в реестр. каждый код причины должен храниться в виде значения реестра в следующем разделе:HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ надежность \ пользователяопределенные \
Этот раздел содержит имена значений следующего вида: XXXXX; nnn; nnnnn. Точки с запятой разделяют компоненты имени значения.
От одного до пяти следующих управляющих флагов (другие символы использовать нельзя).
| Флаг | Описание |
|---|---|
| С | Запланированное завершение работы; в противном случае — незапланированное завершение работы. |
| C | Требуется комментарий. Этот флаг должен использоваться с параметром S. |
| B | Требуется указать идентификатор. Этот флаг должен использоваться с D. |
| S | Отображение диалогового окна ожидаемое завершение работы. Необходимо использовать либо S, D, либо и S, и D. |
| D | Отображение диалогового окна непредвиденное завершение работы. Необходимо использовать либо S, D, либо и S, и D. |
Порядок, в котором используются флаги, не важен. Например, CSP указывает на запланированное завершение работы, когда отображается ожидаемое диалоговое окно завершения работы, и требуется комментарий.
Основная причина. Этот компонент должен быть числом в диапазоне 64-255. Диапазон 0-63 зарезервирован для использования системой.
Второстепенная причина. Этот компонент должен находиться в диапазоне 0-65535.
Пользовательские причины сортируются в пользовательском интерфейсе по основному номеру причины, а затем по незначительному номеру причины. Ни одна из двух пользовательских причин не может использовать одни и те же основные и вспомогательные причины, если только она не запланирована, а другая не является незапланированной. В противном случае система будет использовать первый экземпляр и игнорировать остальные.
Данные для каждого значения реестра — это две строки, разделенные \ n \ r. Первая строка представляет собой строку заголовка, отображаемую в диалоговом окне Завершение работы, и записывается в журнал событий. Максимальный размер — 64 символов. Строки заголовка должны быть уникальными. Пользовательские заголовки не могут соответствовать стандартным заголовкам, определенным системой, или другим пользовательским заголовком. Вторая строка представляет собой строку описания, отображаемую в диалоговом окне Завершение работы. Это необязательно. Максимальный размер — 256 символов.
Описание отслеживания событий отключения
В этой статье описывается трекер отключения событий.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 293814
Сводка
Отслеживание событий отключения — это функция Microsoft Windows Server 2003 и Microsoft Windows XP, которую можно использовать для последовательного отслеживания причин отключений системы. Затем вы можете использовать эти сведения для анализа отключений и для разработки более полного понимания системной среды. Отслеживание событий отключения регистрит события, аналогичные следующим событиям в журнале событий системы:
Дополнительная информация
Windows Server 2003 и Windows XP 64-Bit Edition Version 2003
По умолчанию отслеживание событий отключения включено для всех операционных систем Windows Server 2003 и Windows XP 64-Bit Edition Version 2003.
Чтобы отключить отслеживание событий отключения на всех операционных системах Windows Server 2003 и в Windows XP 64-Bit Edition Version 2003, отключите политику отслеживания событий display Shutdown с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:
Windows XP Professional
По умолчанию отключен трекер событий отключен в Windows XP Professional.
Чтобы включить отслеживание событий отключения в Windows XP Professional, в Windows XP Tablet PC Edition и в Windows XP Media Center Edition, включим политику отслеживания событий отключения отображения с помощью групповой политики. Чтобы сделать это с помощью локальной групповой политики, выполните следующие действия:
Отслеживание событий отключения не является функциональным компонентом Windows XP Home Edition. Поэтому вы не можете использовать отслеживание событий отключения в Windows XP Home Edition.
Корпорация Майкрософт рекомендует не включить отслеживание событий отключения в Windows XP Professional, Windows XP Tablet PC или Windows XP Media Center Editions. Корпорация Майкрософт не поддерживает использование этого компонента в этих средах Windows XP.
Настраиваемые параметры для определения причины отключения
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Windows содержит список из восьми общих причин отключения компьютера. Этот список можно изменить, чтобы включить собственные настраиваемые причины. Чтобы добавить собственные причины, выполните следующие действия:
Откройте редактор реестра.
Найдите и выберите следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Reliability\UserDefined
В меню Редактирование выберите Новое, а затем выберите значение Multi-String. Который создает новый ключ и дает ему временное имя «Новое значение».
Введите имя ключа реестра в следующем формате и нажмите кнопку ENTER: UI_control_flags; major_reason_number; minor_reason_number
Раздел UI_control_flags имени значения может содержать одно или несколько следующих значений:
Дважды щелкните новый ключ, а затем определите данные о значении в следующем формате:
Каждое значение состоит из двух строк на отдельных строках; первая строка — это заголовок (она отображается в списке), а вторая строка — описание (это текст, отображаемый по выбранной причине).
Например, если вы хотите создать настраиваемую причину стихийного бедствия, можно определить данные значения следующим образом: Стихийное бедствие (незапланированное)
Для наводнения, землетрясения, торнадо или другого незапланированного естественного события требуется, чтобы компьютер закрылся. Укажите естественное событие в области комментариев.
История включения компьютера Windows
Могут быть разные ситуации, когда необходимо посмотреть историю включения и отключения компьютера. Эта информация может быть полезна не только системным администраторам в целях устранения неполадок. Также проверки времени запуска и завершения работы компьютера, может быть хорошим средством контроля пользователей.
В этой статье мы обсудим два способа отслеживания времени выключения и запуска ПК.
Первый способ сложнее, но не требует использования дополнительных программ. Второй намного проще, программа бесплатная и не требует установки.
История включения компьютера в журнале событий Windows
Windows Event Viewer — это отличный инструмент Windows, который сохраняет все системные события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows.
Средство просмотра событий также регистрирует время начала и окончания службы журнала событий. Мы можем использовать это время, чтобы понять, когда был запущен или выключен компьютер.
События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте пройдем через весь процесс извлечения этой информации из журнала Windows.
Если вы хотите дополнительно изучить журнал событий, вы можете просмотреть код события 6013, который будет отображать время работы компьютера, а код события 6009 указывает информацию о процессоре, обнаруженную во время загрузки. Событие с кодом 6008 сообщит вам, что система запустилась после того, как она не была выключена должным образом.
История включения компьютера с TurnedOnTimesView
TurnedOnTimesView — это простой, портативный инструмент для анализа журнала событий на время запуска и завершения работы. Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети.
Поскольку это портэйбл версия (не требует установки), вам нужно всего лишь распаковать и запустить файл TurnedOnTimesView.exe. В нем сразу будут перечислены время запуска, время выключения, продолжительность времени безотказной работы между каждым запуском и выключением, причина выключения и код выключения.
event_turnedonview
Причина выключения обычно связана с компьютерами Windows Server, где мы должны указать причину, когда мы выключаем сервер.
event_remote_computer
Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит для этой цели с очень простым интерфейсом и точными данными. С какой целью вы контролируете время запуска и выключения вашего компьютера? Какой метод вы предпочитаете для мониторинга?
Как определить время последнего выключения и дату в Windows
Самый простой способ определить дату и время последнего выключения — это проверить журналы событий. Когда вы выключаете компьютер, в журнал событий записывается событие с кодом 1074, которое обозначает чистое завершение работы. Следующие инструкции применимы ко всем версиям Windows, включая Windows 10.
Определите дату последнего выключения или перезапуска Время в Windows
Чтобы узнать, когда компьютер был в последний раз выключен, проверьте в Event Viewer самое последнее событие с кодом 1074.
Вот пример события выключения:
Найти время последнего отключения с помощью командной строки
Чтобы получить самое последнее событие отключения (событие с кодом 1074) из система Журнал событий с помощью командной строки, запустите эту команду:
Чтобы просмотреть только дату (метку времени) события без других подробностей, выполните:
СВЯЗАННЫЙ: Различные способы найти Uptime в Windows
События с кодом 6005 и 6006
Кроме того, вы также можете найти ИД события 6006 «Служба журнала событий был остановлен» и 6005 «Служба журнала событий была запущена». Это означает, что в указанное время произошло событие выключения или перезапуска.
СВЯЗАННЫЙ: Как найти дату и время установки Windows
Использование Windows Script и реестра
Windows также сохраняет дату и время последнего выключения в значении REG_BINARY с именем ShutdownTime в следующей ветке:
Заметка: Этот метод показывает правильное время последнего отключения, только если Быстрый запуск не используется.
Чтобы преобразовать двоичные данные в читаемую форму, вы можете использовать следующий VBScript.
