Anzeigen von Protokollen zur Ereignisprotokollierung beim Herunterfahren unter Windows Server 2008 R2

Ich versuche, die Shutdown Event Tracker-Protokolle in der Ereignisanzeige unter Windows Server 2008 R8 anzuzeigen, kann jedoch die Nachrichten nicht finden, die ich beim vorherigen Neustart des Servers bereitgestellt habe.

Wo kann ich in der Ereignisanzeige diese Protokolle sehen?

Öffnen Sie die Ereignisanzeige. Erweitern Sie Windows-Protokolle. Klicken Sie auf "System" und suchen oder filtern Sie nach der Ereignis-ID 1074. Daraufhin werden alle Ihre Herunterfahrprotokolle angezeigt.

Ich weiß, das ist eine sehr alte Frage. Dies könnte jedoch jemandem helfen, der nach der gleichen Lösung sucht. Sie können eine einzelne Zeile in Powershell (die in allen Betriebssystemen nach Windows 2003 verfügbar ist) verwenden, um den Neustartverlauf zu ermitteln. Öffnen Sie einfach powershell.exe über die Eingabeaufforderung und geben Sie den folgenden Befehl ein.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Wenn Sie oder andere nur versuchen, die letzte Startzeit zu ermitteln, ist die einfachste Möglichkeit, die ich gefunden habe, die folgende in cmd auszuführen:

systeminfo | find "System Boot Time"

Von powercram.com

Ein weiterer nützlicher Ansatz, den ich gefunden habe, da wir unsere von ISP gehosteten Server häufig auf Ausfälle überwachen, ist das Erstellen einer benutzerdefinierten Ereignisansicht wie folgt:

Öffnen Sie dann die Ereignisanzeige

• Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Ansichten
• Klicken Sie auf Benutzerdefinierte Ansicht erstellen
• Klicken Sie auf die Registerkarte Filter
  • Immer angemeldet bleiben
  • Wählen Sie alle Ereignistypen aus (Kritisch, Warnung usw.).
  • Wählen Sie nach Quelle = Windows-Protokolle> System
  • Geben Sie für Ereignis-ID im Abschnitt Ereignis-IDs einschließen / ausschließen 1074 als Ereignis-ID ein
• OK klicken
• Geben Sie einen Namen wie Shutdown Events und eine Beschreibung ein
• Klicken Sie erneut auf OK, um das benutzerdefinierte Ereignisprotokoll fertigzustellen.

Ihre neue benutzerdefinierte Ansicht sollte in der Liste der benutzerdefinierten Ansichten mit dem richtigen Filter angezeigt werden.

Etwas sauberer Powershell-Einzeiler, mit dem ich herunterfahrbezogene EventIDs herausfiltere:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

So beschränken Sie dies auf die nützlichsten Eigenschaften:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Alternativ können Sie nach Nachrichtentext suchen:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

Erweitern Sie The Windows Logsin der The Event ViewerAnwendung und wählen Sie System. Dann in The System Panel, erscheint normalerweise in der Mitte, sortiere sie nach Level oder ID.

Klicken Sie auf jeden Eintrag, um die Beschreibung im unteren Bereich anzuzeigen