查看Windows系统关机重启事件

发表于 2021-11-03 分类于随笔阅读次数：本文字数： 1.7k 阅读时长 ≈ 2 分钟

前言

Windows: Shutdown/Reboot Event IDs – Get Logs
Windows Server restart / shutdown history
相关事件ID：41,1074,1076,6005,6006,6008,6009,6013
Win7事件ID：6005（开机）、6006（关机）
Win10事件ID：30（开机）、7002（关机）

关机重启事件

事件ID	描述	Description
30	固件报告了启动指标。
41	系统在没有彻底关闭的情况下重新启动。	The system has rebooted without cleanly shutting down first.
1074	系统被某个用户或进程正常关闭。	The system has been shutdown properly by a user or process.
1076	紧随事件ID 6008之后，表示在意外重启或关机后第一个拥有关机权限的用户登录到服务器并指定原因。	Follows after Event ID 6008 and means that the first user with shutdown privileges logged on to the server after an unexpected restart or shutdown and specified the cause.
6005	事件日志服务已启动。表示系统启动。	The Event Log service was started. Indicates the system startup.
6006	事件日志服务已停止。表示系统正常关闭。	The Event Log service was stopped. Indicates the proper system shutdown.
6008	上次系统关闭是意外的。	The previous system shutdown was unexpected.
6009	系统启动时检测到的操作系统版本。	The operating system version detected at the system startup.
6013	系统正常运行时间，以秒为单位。	The system uptime in seconds.
7002	客户体验改善计划的用户注销通知。

在事件查看器中查看

开始菜单内输入event或eventvwr

点击Windows 日志 - 系统

右键点击或在右侧选择筛选当前日志

在<所有事件 ID>中输入41,1074,1076,6005,6006,6008,6009,6013或30,7002,6005,6006或并点击确定

根据相近的6005与6006事件，确认系统在2021/11/1 10:16:08关机，在2021/11/1 10:16:41开机，可以判断出这是一次重启操作。

根据相近的30与7002事件，确认系统在2021/11/1 10:16:31开机，在2021/11/1 11:06:49关机。

在PowerShell中查看

使用 PowerShell 的Get-EventLog命令从命令行检索 Windows 中的关机/重启日志。

过滤系统事件日志中的最新10000条，然后仅显示与 Windows 开关机相关的事件，请运行：

1
2
3

Get-EventLog System -Newest 10000 | `
Where EventId -in 41,1074,1076,6005,6006,6008,6009,6013 | `
Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

过滤Win10系统事件日志中的最新10000条，然后仅显示与 Windows 开关机相关的事件，请运行：

1
2
3

Get-EventLog System -Newest 10000 | `
Where EventId -in 30,6005,6006,7002 | `
Format-Table TimeGenerated,EventId,UserName,Message -AutoSize -wrap

后记

想搜技术知识，还是Google靠谱。