Windows Server yeniden başlatma / kapatma geçmişi

87

Windows Server'ım her yeniden başlatıldığında veya kapatıldığında ve kullanıcı tarafından başlatılan, sistem tarafından başlatılan ve sistemin çökmesini içeren nedenleri kolayca görebilirim.

Windows Olay Günlüğü açık bir cevaptır, ancak görüntülemem gereken olayların tam listesi nedir?

Soruma kısmen cevap veren bu mesajları buldum:

Windows sunucusunun son yeniden başlatma süresi , tam yeniden başlatma geçmişini kısmen ele alan birkaç yanıt içermektedir.
Kapanma Olayı İzleyicisi'ni görüntüleyin, Windows Server 2008 R2 altında günlüklerine ek bir olay kimliği içeriyor
Computer Start / boot sırasında aynı olay kimliklerini içeren Olay Günlüğü saati

ancak bunlar AFAIK'in her senaryosunu kapsamıyor ve bilgilerin anlaşılması zor çünkü çok sayıda cevaba yayılmış durumda.

Birkaç Windows Server sürümüne sahibim, bu nedenle en azından 2008, 2008 R2, 2012 ve 2012 R2 sürümleri için çalışan bir çözüm ideal olacaktır.

— JohnC
kaynak

1

Bazı durumlarda Nirsoft'un TurnedOnTimesView yeteri kadar iyi olabilir. ( nirsoft.net/utils/computer_turned_on_times.html ) yeniden başlatma ve kapatma zamanlarını gösterir.

— Peter Hahndorf

Harici bir izleme aracı kullanıyor musunuz, .eg, opsview, nagios, icinga, shinken? Bu araçlar, izleme sonuçlarını bir veritabanında saklar ve ardından sunucuların yeniden başlatılıp başlatılmadığını ve ne zaman,

— 030

100

Bulduğum en net cevap şu:

Windows'ta Bilgisayar Başlangıç ve Kapanış Geçmişini Görme

bu olay kimliklerini listelemek için listelenir (alıntı yapılan ancak makaleden düzenlenmiş ve yeniden biçimlendirilmiş):

Olay Kimliği 6005 ( alternatif ): “Olay günlüğü hizmeti başlatıldı.” Bu, sistemin başlatılması ile eşanlamlıdır.
Olay Kimliği 6006 ( alternatif ): “Olay günlüğü hizmeti durduruldu.” Bu, sistemin kapanması ile eşanlamlıdır.
Olay Kimliği 6008 ( alternatif ): "Önceki sistem kapatması beklenmiyordu." Sistem düzgün kapatılmadıktan sonra başladığını kaydeder.
Olay Kimliği 6009 ( alternatif ): Windows ürün adını, sürümünü, yapı numarasını, hizmet paketi numarasını ve önyükleme sırasında algılanan işletim sistemi türünü belirtir.
Olay Kimliği 6013: Bilgisayarın çalışma süresini görüntüler. Bu kimlik için TechNet sayfası yok.

OP'mde listelenen Sunucu Hatası yanıtlarından birkaç tanesini daha ekle:

Olay Kimliği 1074 ( alternatif ): "X işlemi, aşağıdaki nedenlerden dolayı Y kullanıcısı adına bilgisayarın yeniden başlatılmasını / kapanmasını başlattı: Z." Bir uygulamanın veya kullanıcının yeniden başlatma veya kapatma işlemini başlattığını gösterir.
Olay Kimliği 1076 ( alternatif ): "X kullanıcısının bu bilgisayarın son beklenmeyen şekilde kapanması için sağladığı neden: Y." Kapatma ayrıcalıklarına sahip ilk kullanıcı, beklenmeyen bir yeniden başlatma veya kapatma işleminden sonra bilgisayara oturum açtığında ve bu durum için bir neden sağladığında kaydeder.

Herhangi birini özledim mi?

— JohnC
kaynak

3

Güç kaybını ve hata denetimi nedeniyle yeniden başlatma arasındaki farkı ayırt etmek için, Olay Kimliği 41 (kaynak: Microsoft-Windows-Çekirdek-Güç) ve Olay Kimliği 1001: (kaynak: BugCheck) kombinasyonunu arayın. İkincisi olmadan eski güç kaybı veya sıfırlama gösterir.

— sendmoreinfo

4

Bu yardımcı oldu. Teşekkür ederim JohnC. Geçerli Günlüğü Filtrele penceresindeki Kapsama / Hariç Olay kimliğinin giriş alanına "6005, 6006, 6008, 6009, 6013, 1074, 1076" yazdım ve tam olarak ihtiyacım olanı verdi.

— Joey

1

Muhtemelen yeniden başlatma / sıfırlama vb. İşlemlerden sonra ilk kaydedilen ilk olay olan Kernel-Generaleventid'i12 eklemelisiniz , örneğin gerçek "sistem başlangıç zamanını" gösterir, yani: "İşletim sistemi 2017 - 09 - 19T02: 46: 06.582794900Z ".

— Abel

Bu cevabın bağlantıları koptu

— Tim Schmelter

1

Geçerli Microsoft dokümanlarını olay günlüğü kodlarında bulamadım ancak bulamadım, bu nedenle Microsoft Dokümanlar'da github.com/MicrosoftDocs/windowsserverdocs/issues adresinde bu içeriğin nasıl yeniden canlandırılacağına dair öneri / fikir birliği elde etmek için bir sorun yarattım. 444 . @ tim-schmelter, düşüncelerinizi oylayın ve ekleyin.

— JohnC

4

JohnC temelde her şeyi kapsadığı için bunu basitçe bir yorum olarak bırakacaktım, fakat henüz yapmama izin verilmedi.

Açıkladığı olaylar bir süredir kullanılıyor, bu yüzden bahsettiğiniz herhangi bir işletim sistemi ve masaüstü kardeşleri için çalışacaklar. TechNet'teki 6006 için bir tane olduğu gibi ilişkilendirilen olay kimliği sayfaları , Windows Server 2003'ten bahsediyor.

Zarif bir kapatma varsa, kullanıcı başlatılmış veya başka bir şekilde, çeşitli hizmetlerin "durdurulan duruma girdiğini" söyleyen bazı Event ID 7036'yı da görmelisiniz . Makine tekrar çalışmaya başladığında, hizmetlerin çalışma durumuna girdiğini bildiren 7036'dan fazla mesaj göreceksiniz.

— JTL
kaynak

2

Ayrıca, eğer bir servis tekrar tekrar bisiklete biniyorsa büyük bir olay kimliği 7036 bloğunu göreceksiniz, bu nedenle yeniden başlatma aramanın en iyi yolu bu değil. Önce JohnC tarafından açıklanan olayları aramalısınız.

— JTL

3

@JohnC ın cevabı üzerine inşa etmek ve genişletmek

Bir XML filtresi kullanabilirsiniz:

<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

172800000 ürününü zaman aralığı için aşağıdaki değerlerle değiştirebilirsiniz:

86400000 - Son 24 saat

172800000 - Son 2 Gün

604800000 - Son 7 Gün

Bu, sunucu / bilgisayar çevrimdışına çıktığından çok daha fazla ayrıntı gösterecektir. Çekirdek-Güç, Kullanıcı32 ve EventLog olaylarını içerir.

— elemer82
kaynak

2

Komut satırından faaliyetler gerçekleştirmeyi tercih ederim. İşte kaldıraç kullanabileceğiniz bir snippet'in başlangıcı. Bu, en son 30.000 sistem kaydını gösterir ve bu kayıtlardaki yeniden başlatmaları döndürür.

Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}

— Rakaim
kaynak