Vraag Herstart- / afsluitingsgeschiedenis van Windows Server


Hoe kan ik gemakkelijk een geschiedenis zien van elke keer dat mijn Windows Server opnieuw is opgestart of afgesloten en de oorzaak, inclusief door de gebruiker geïnitieerde, systeeminitiatie en systeem is gecrashed?

Het Windows-gebeurtenislogboek is een voor de hand liggend antwoord, maar wat is de volledige lijst van gebeurtenissen die ik moet bekijken?

Ik heb deze berichten gevonden die gedeeltelijk mijn vraag beantwoorden:

maar die vallen niet in elk scenario AFAIK en de info is moeilijk te begrijpen omdat het verspreid is over meerdere antwoorden.

Ik heb verschillende versies van Windows Server, dus een oplossing die werkt voor ten minste versies 2008, 2008 R2, 2012 en 2012 R2 zou ideaal zijn.


65
2017-07-01 13:19


oorsprong


In sommige situaties kan Nirsoft's TurnedOnTimesView goed genoeg zijn. (nirsoft.net/utils/computer_turned_on_times.html) het toont reboots en shutdown tijden. - Peter Hahndorf
Gebruik je een externe monitoringtool, .e.g., Opsview, nagios, icinga, shinken? Met deze hulpmiddelen worden de bewakingsresultaten opgeslagen in een database en kunt u controleren of servers opnieuw zijn opgestart en wanneer - 030


antwoorden:


Het duidelijkste en meest beknopte antwoord dat ik kon vinden is:

die deze event-id's opslaat om te monitoren (geciteerd maar bewerkt en opnieuw geformatteerd uit het artikel):

  • Gebeurtenis-ID 6005: "De gebeurtenislogdienst is gestart." Dit is synoniem aan het opstarten van het systeem.
  • Gebeurtenis-ID 6006: "De gebeurtenislogboekservice is gestopt." Dit is synoniem voor systeemuitschakeling.
  • Gebeurtenis-ID 6008: "Het vorige afsluiten van het systeem was onverwacht." Records die het systeem opstartte nadat het niet correct was afgesloten.
  • Gebeurtenis-ID 6009: Geeft de Windows-productnaam, -versie, buildnummer, servicepacknummer en het type besturingssysteem aan dat tijdens het opstarten is gedetecteerd.
  • Gebeurtenis-ID 6013: Geeft de uptime van de computer weer. Er is geen TechNet-pagina voor dit ID.

Voeg daar nog een paar extra toe aan de Server Fault-antwoorden in mijn OP:

  • Gebeurtenis-ID 1074: "Het proces X heeft de computer opnieuw gestart / afgesloten ten behoeve van gebruiker Y om de volgende reden: Z." Geeft aan dat een toepassing of een gebruiker het opnieuw opstarten of afsluiten heeft gestart.
  • Gebeurtenis-ID 1076: "De reden die door gebruiker X wordt gegeven voor de laatste onverwachte afsluiting van deze computer is: Y." Registreert wanneer de eerste gebruiker met afsluitprivileges zich bij de computer aanmeldt na een onverwacht herstarten of afsluiten en geeft een reden voor het optreden.

Heb ik er een gemist?


81
2017-07-01 13:19



Om onderscheid te maken tussen stroomverlies en rebooten als gevolg van bugcheck, zoekt u naar combinatie van gebeurtenis-ID 41 (bron: Microsoft-Windows-kernel-Power) en gebeurtenis-ID 1001: (bron: BugCheck). Zonder deze laatste geeft stroomuitval of reset aan. - sendmoreinfo
Dit was nuttig. Bedankt John. In het invoerveld Inclusief / Exclusief-gebeurtenis in het venster Filter Huidig ​​logboek, voerde ik "6005, 6006, 6008, 6009, 6013, 1074, 1076" in en het gaf me precies wat ik nodig had. - joey
Je zou het waarschijnlijk moeten toevoegen Kernel-General met eventid 12, wat meestal de eerste eventid is die na een reboot / reset enz. wordt vastgelegd en de werkelijke "starttijd van het systeem" laat zien, d.w.z. "Het besturingssysteem is gestart op systeemtijd 2017 - 09 - 19T02: 46: 06.582794900Z." - Abel
De links in dit antwoord zijn verbroken - Tim Schmelter
Ik heb gezocht, maar kon de huidige Microsoft-documenten niet vinden op logboekcodes, dus ik heb een probleem gemaakt in de gidub van Microsoft Documenten om advies / consensus te krijgen over waar deze inhoud kan worden hersteld in het nieuwe MS-docs-regime, github.com/MicrosoftDocs/windowsserverdocs/issues/444. @ tim-schmelter up-up en voeg je gedachten toe. - JohnC


Ik zou dit simpelweg als commentaar achterlaten, omdat JohnC in principe alles heeft behandeld, maar dat mag ik nog niet doen.

De gebeurtenissen die hij beschreef, zijn al een tijdje gebruikt, dus ze zullen werken voor elk besturingssysteem dat je hebt genoemd, evenals hun desktop-broeders. De gebeurtenis-ID-pagina's waarnaar hij linkt, zoals die voor 6006 op TechNet, vermeld Windows Server 2003.

Als er een elegante afsluiting was, door de gebruiker geïnitieerd of anderszins, zou u er ook enkele moeten zien Gebeurtenis-ID 7036 u vertellen dat verschillende services 'de stopgezette status zijn binnengegaan'. Wanneer de machine opnieuw opstart, ziet u meer 7036's die aankondigen dat services de actieve status ingaan.


3
2017-07-01 14:54



U ziet ook een groot blok met gebeurtenis-ID 7036 als een service herhaaldelijk fietstoestanden is, dus dit is niet de beste manier om opnieuw te zoeken. Je zou moeten zoeken de beschreven gebeurtenissen door JohnC, eerst. - JTL