Frage Zeigen Sie die Ereignisprotokollierung für Herunterfahren unter Windows Server 2008 R2 an


Ich versuche, die Shutdown Event Tracker-Protokolle in der Ereignisanzeige auf Windows Server 2008 r8 anzuzeigen, aber ich kann die Nachrichten nicht finden, die ich beim vorherigen Neustart des Servers angegeben habe.

Wo in der Ereignisanzeige kann ich diese Protokolle sehen?


36
2017-11-21 12:52


Ursprung




Antworten:


Öffnen Sie die Ereignisanzeige. Erweitern Sie Windows-Protokolle. Klicken Sie auf System, und suchen oder filtern Sie nach der Ereignis-ID 1074. Sie sehen dann alle Ihre heruntergefahrenen Protokolle.


54
2017-11-21 14:27



Danke, das ist sehr praktisch. Windows macht es nicht einfach, in den Protokollen zu navigieren, ohne zu wissen, wonach Sie suchen - Gordon Carpenter-Thompson
Sie müssen auch 1076 (ungeplantes Herunterfahren) einschließen und nach Quellbenutzer32 filtern
Event 6008 "Unexpected Shutdown" könnte auch interessant sein ... - Nenotlep
@Jacob, Wie bekommst du die Liste der Event IDs und was sie darstellen? - Pacerier
@ Pacerier Viel Glück damit .... aber hier ist ein Anfang: eventid.de - leeand00


Ich weiß, das ist eine sehr alte Frage. Aber dies könnte jemandem helfen, der nach der gleichen Lösung sucht. Sie können eine einzelne Zeile in Powershell (die in allen Betriebssystemen später als Win 2003 verfügbar ist) verwenden, um den Neustartverlauf zu ermitteln. Öffnen Sie einfach powershell.exe von der Eingabeaufforderung und geben Sie den folgenden Befehl ein.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

11
2018-01-09 13:17





Wenn Sie oder andere nur versuchen, die letzte Bootzeit zu finden, ist der einfachste Weg, den ich gefunden habe, das in cmd auszuführen:

systeminfo | find "System Boot Time"

Von powercram.com


9
2018-01-07 19:49



Wenn Sie nichts sehen, entfernen Sie einfach den Fund. Ich hatte diese Information dort nicht, aber ich hatte "System Up Time". - Nenotlep
@Nenotlep, Am besten ist es, eine Suche ohne Beachtung der Groß- / Kleinschreibung durchzuführen: systeminfo | find /i "system" | find /i "time". Funktioniert auf allen Systemen - Pacerier


Ein weiterer nützlicher Ansatz, den ich gefunden habe, besteht darin, eine benutzerdefinierte Ereignisansicht wie folgt zu erstellen, da wir unsere ISP-gehosteten Server regelmäßig auf Ausfälle überwachen:

Öffnen Sie dann die Ereignisanzeige

  • Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Ansichten
  • Klicken Sie auf Benutzerdefinierte Ansicht erstellen
  • Unter der Registerkarte Filter
    • Angemeldet bleiben wie immer
    • Wählen alles die Ereignistypen (Kritisch, Warnung, etc.)
    • Wählen Sie nach Quelle = Windows-Protokolle> System
    • Geben Sie für Event ID im Abschnitt Includes / Excludes Event IDs 1074 als Ereignis-ID ein
  • OK klicken
  • Geben Sie einen Namen wie Shutdown Events und dann eine Beschreibung ein
  • Klicken Sie erneut auf OK, um das benutzerdefinierte Ereignisprotokoll abzuschließen.

Ihre neue benutzerdefinierte Ansicht sollte in der Liste der benutzerdefinierten Ansichten mit dem richtigen Filter angezeigt werden.


2
2017-07-13 13:41



Basierend auf den anderen Antworten habe ich diesen Schritt für meine Ansichten geändert: For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID - Jeroen Wiert Pluimers


Etwas sauberer Powershell-Einleiner, mit dem ich Shutdown-bezogene EventIDs herausfiltern kann:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Um dies auf die nützlichsten Eigenschaften zu beschränken:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Alternativ zum Suchen nach Nachrichtentext:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

1
2017-08-07 23:58