Wie kann ich den Verlauf jedes Neustarts oder Herunterfahrens von Windows Server und den Grund dafür, einschließlich vom Benutzer initiierter, vom System initiierter und abgestürzter Systeme, auf einfache Weise anzeigen?
Das Windows-Ereignisprotokoll ist eine offensichtliche Antwort. Wie lautet jedoch die vollständige Liste der Ereignisse, die ich anzeigen sollte?
Ich habe diese Posts gefunden, die meine Frage teilweise beantworten:
- Die letzte Neustartzeit von Windows Server enthält mehrere Antworten, die sich teilweise mit dem vollständigen Neustartverlauf befassen
- Das Anzeigen von Protokollen zur Ereignisprotokollierung beim Herunterfahren unter Windows Server 2008 R2 enthält eine zusätzliche Ereignis-ID
- Die Zeit des Ereignisprotokolls beim Starten / Booten des Computers enthält einige der gleichen Ereignis-IDs
Diese decken jedoch nicht jedes AFAIK-Szenario ab, und die Informationen sind schwer zu verstehen, da sie auf mehrere Antworten verteilt sind.
Ich habe mehrere Versionen von Windows Server, daher wäre eine Lösung, die für mindestens die Versionen 2008, 2008 R2, 2012 und 2012 R2 funktioniert, ideal.
windows-server-2008
windows-server-2008-r2
windows-server-2012
windows-server-2012-r2
windows-event-log
JohnC
quelle
quelle
Antworten:
Die klarste und prägnanteste Antwort, die ich finden konnte, ist:
die diese zu überwachenden Ereignis-IDs auflistet (zitiert, aber bearbeitet und aus dem Artikel neu formatiert):
Fügen Sie dem noch ein paar Antworten aus dem Server-Fehler hinzu, die in meinem OP aufgeführt sind:
Habe ich welche vermisst?
quelle
Kernel-General
mit eventid12
hinzufügen. Dies ist normalerweise die erste Ereignis- ID , die nach einem Neustart / Zurücksetzen usw. protokolliert wird und die tatsächliche "Systemstartzeit" anzeigt, dh: "Das Betriebssystem wurde zur Systemzeit 2017 gestartet. - 09 - 19T02: 46: 06.582794900Z.Ich würde dies einfach als Kommentar hinterlassen, da JohnC im Grunde alles behandelt hat, aber ich darf dies noch nicht tun.
Die von ihm beschriebenen Ereignisse werden seit einiger Zeit verwendet, sodass sie für jedes der von Ihnen genannten Betriebssysteme sowie für ihre Desktop-Brüder funktionieren. Auf den von ihm verlinkten Ereignis-ID-Seiten, wie der für 6006 in TechNet, wird Windows Server 2003 erwähnt.
Wenn es ein elegantes Herunterfahren gab, das vom Benutzer initiiert oder auf andere Weise ausgelöst wurde, sollten Sie auch eine Ereignis-ID 7036 sehen , die Ihnen mitteilt, dass verschiedene Dienste "in den gestoppten Zustand eingetreten" sind. Wenn der Computer wieder hochfährt, werden weitere 7036 gemeldet, dass die Dienste in den aktiven Zustand versetzt werden.
quelle
Auf der Antwort von @JohnC aufbauen und diese erweitern
Sie könnten einen XML-Filter verwenden wie:
Sie können 172800000 durch die folgenden Werte für den Zeitraum ersetzen:
86400000 - Letzte 24 Stunden
172800000 - Letzte 2 Tage
604800000 - Letzte 7 Tage
Dies zeigt viel mehr Details von dem Zeitpunkt an, als der Server / PC offline ging. Es enthält Kernel-Power-, User32- und EventLog-Ereignisse.
quelle
Ich bevorzuge es, Aktivitäten von der Kommandozeile aus durchzuführen. Hier ist der Beginn eines Snippets, das Sie nutzen können. Hier werden die letzten 30.000 Systemdatensätze angezeigt und die Neustarts in diesen Datensätzen zurückgegeben.
quelle