Известно, что выключать компьютер могут не только пользователи. Инициировать завершение работы Windows способны также встроенные и сторонние приложения, ещё система может завершить работу аварийно вследствие разных ошибок. А теперь представьте себе такую ситуацию. Уходя из дома, вы оставили свой компьютер включенным, а вернувшись, нашли его выключенным. Возможно, вы захотите узнать, что же стало причиной выключения компьютера.
Так вот, сделать это очень просто. В Windows 7, 8.1 и 10 все события, связанные с завершением работы или перезагрузкой, записываются в системный журнал. Каждое событие имеет соответствующий код. Событие с кодом 1074 указывает, что завершение работы системы было инициировано приложением, например, таймером или Центром обновления Windows. Если событие имеет код 6006, работа Windows была завершена пользователем в обычном режиме. Если же событие обозначено кодом 6008, причиной завершения работы Windows стала ошибка или внезапное отключение электропитания. Получить доступ ко всем этим данным нетрудно. Откройте командой eventvwr.msc
встроенный Журнал событий, в левой колонке выберите Журналы Windows → Система, а справа нажмите ссылку «Фильтр текущего журнала».
В открывшемся окне в поле включения или исключение кодов событий введите через запятую числа 1074, 6006, 6008 и нажмите OK.
Окно закроется, и записи в центральной колонке главного окна будут отфильтрованы согласно заданным параметрам.
Теперь вы можете просматривать интересующие вас события, кликая по ним мышкой, также журнал предоставляет возможность сохранения выбранных событий в текстовый лог формата XML, CSV или ТXТ для последующего изучения в автономном режиме.
Windows 11/10, an improved version of series of operating systems by Microsoft has a huge fan following. It is easy to use, provides better security, compatible with most of the software programs, and most importantly keeps a track of every activity of the system. Many users have reported a problem of automatic shutdown of your PC without any warning or reason. Using the system tracking feature of Windows 10 we can find out why your PC shut down for no reason Windows 11/10.
Find out why computer shut down
The unexpected shut down may occur in many ways, sometimes putting your PC at sleep for a longer period may lead to random shut down. The system may or may not notify you about the shutdown. In some cases, users have received a message regarding the sudden requirement of shutdown in 10 minutes or 30 minutes even if all the drivers are updated. Let us find out the root of this unexpected behavior of Windows 10. In this article, you will learn three methods using which you can find the cause of unexpected shutdown on Windows 11/10.
- Through Event Viewer
- By using PowerShell
- Using Command Prompt
Let’s now see them in detail:
1] Through Event Viewer
To find the cause of the unexpected shutdown using Event Viewer, use the following suggestions:
Click on Start, type Event Viewer, and then select the result from the top of the list.
After heading into Event Viewer, expand Windows Logs from the left and then select System.
Now do right-click on System and select the Filter Current Log option.
Inside the Filter Current Log window, select the Filter tab. Then go to the All Event ID textbox and enter the following ID number separated by a comma as shown in the below snapshot.
- 41: It indicates that your system is crashed, power lost, or not responding which in turn leads to incorrect shutdown using the clean shutdown option.
- 1074: This event is logged for manual shutdown or restart. It is also applied for the event when the system automatically restarts to install new updates to your computer.
- 6006: It is triggered after the new update installation, especially when the system is lost during the shutdown.
- 6005: This is an error that occurs when the system goes for a reboot.
- 6008: This event is a clear indicator of random automatic shutdown, which may be caused due to error 41.
Now click the OK button and then double-click a log to verify the information.
As soon as you complete the above steps, you will see the real causes of your device shut down unexpectedly.
Read: How to check the Shutdown and Startup Logs.
2] By using PowerShell
Another method to find the cause of the unexpected shutdown on Windows 10 is using Windows PowerShell. So, if you prefer a command-line interface over GUI, you can use the following instructions to do so:
Open an elevated PowerShell prompt
Once it opens, type the following command and press
Enter:
Get-WinEvent -FilterHashtable @{ LogName = 'System'; Id = 41, 1074, 6006, 6605, 6008; } | Format-List Id, LevelDisplayName, TimeCreated, Message
Go to the log description section and know the possible causes and time for the shutdown.
Let us talk about them in detail.
First of all, open an elevated PowerShell prompt. To do so, right-click on Start and select Windows PowerShell (Admin) option from the menu list.
If a UAC prompt is triggered and asks for your permission, click on the Yes button.
Inside the elevated PowerShell app area, copy and paste the following command and hit Enter:
Get-WinEvent -FilterHashtable @{ LogName = 'System'; Id = 41, 1074, 6006, 6605, 6008; } | Format-List Id, LevelDisplayName, TimeCreated, Message
After running the above command, the possible causes and times for the shutdown will be listed. To do this, you can go to the log description section and check them.
Related: Computer shuts down unexpectedly and restarts automatically.
3] Use Command Prompt
To find the real cause and time of the unexpected shut down of your computer, follow the below suggestions:
Run Command Prompt as administrator on your computer.
Type the following command and hit Enter:
wevtutil qe System /q:"*[System[(EventID=41) or (EventID=1074) or (EventID=6006) or (EventID=6005) or (EventID=6008)]]" /c:100 /f:text /rd:true
Now press the Enter key and you’re done. You will see all the possible causes that had led your computer to shut down unexpectedly.
If you need, you can read the above steps in detail form.
So, to find the cause of the unexpected shutdown of your computer, you first need to open an elevated command prompt.
To do so, right-click on the Start menu and open the Run dialog.
In the text field, type cmd to search for Command Prompt. Then press Ctrl+Shift+Enter to open Command Prompt with admin privileges. Also, click the Yes button if a UAC prompts on the screen.
Now copy and paste the following command-line and press Enter:
wevtutil qe System /q:"*[System[(EventID=41) or (EventID=1074) or (EventID=6006) or (EventID=6005) or (EventID=6008)]]" /c:100 /f:text /rd:true
If you want to view more or fewer event logs, you can do it by doing some minor changes in the above command line. To do that, set /c:100 with your preferred number and run the command again.
You will see the possible causes and times for the shutdown that occurred on your computer. You can go to the log description section and check them.
Hope it helps.
Related: Schedule Shutdown or Restarts using the Task Scheduler.
Привет. Недавно столкнулся с очень неприятной ситуацией — часть серверов начала самопроизвольно выключаться. Какой — либо закономерности в выключениях проследить не удавалось. Единственное что объединяло серверы — это то что на них была установлена ОС Windows Server 2012 или выше, и большая их часть имеет роль терминальных. Ах да, еще все эти серверы — виртуальные и работают под управлением Hyper V. Хочу сегодня рассказать, в чем была проблема.
Конечно, любая диагностика должна начинаться с анализа логов. И вот какое событие удалось обнаружить непосредственно перед выключениями серверов – событие 1074, user32:
The process C:Windowssystem32winlogon.exe (DC) has initiated the power off of computer DC on behalf of user NT AUTHORITYSYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
Comment:
По ним становится понятно, что работа завершается штатно. Что в общем то позволяет исключить влияние железа, хотя оно и так было исключено, т. к. все серверы виртуальные. Под подозрение попал гипервизор, но рысканье вдоль и поперек по логам ни какого результата не дало. События относящиеся к завершениям работы не имели отношения к инициализации завершения работы. Говорят, что виртуальные машины могут в редких случаях произвольно выключаться, если есть проблемы со свободной памятью, но в моем случае памяти было более чем достаточно.
В общем думаю хватит томить, и пора рассказать вам, в чем же в итоге было дело. Подключившись по RDP, я сидел и размышлял, что же может быть причиной подобного завершения работы. И вот из-за бездействия меня выбило на экран ввода пароля, где я обнаружил вот такой экран:
Обратите внимание на нижний угол:
Да, это мать его, завершение работы системы. Оказывается с 2012 винды MS сделали эту кнопку доступной при подключении по RDP.
Отвечает за эту кнопку параметр в групповой политике —
Computer Configuration – Policies – Windows Settings – Local Policies – Security Options – Shutdown: Allow system to be shut down without having to log on.
Отключаем его и всё, возможности выключить сервер у пользователей не будет.
Почему в моем случае этот параметр оказался включенным — остается загадкой. Скорее всего кто-то когда-то давным-давно его включил. Хотя, не исключаю, что он оказывается включенным при переходе с 2008 домена, проверять, честно говоря, лень. Кто в курсе, напишите в комментариях, в каком состоянии находится этот параметр при добавлении контроллера домена Windows 2012 в домен с уровнем 2008r2 или ниже.
В общем и целом, после изменения этого параметра мистические выключения прекратились.
Надеюсь, информация окажется вам полезной.
В Windows 11 (или 10) система «Журнал событий» отслеживает все, что происходит, в том числе, когда и почему компьютер перезагружается или выключается правильно или неправильно из-за проблемы.
Обычно вы не задумываетесь о просмотре этой информации, пока Windows 11 снова запускается правильно. Однако вам может понадобиться знать эти сведения, чтобы определить, требует ли проблема внимания. Или понять, не перезагрузился ли вдруг Центр обновления Windows для применения накопительного обновления или устройство неожиданно потеряло питание.
Независимо от причины, Windows 11 (в дополнение к Windows 10) включает в себя инструменты, которые позволяют вам проверить дату, время и причину неожиданного выключения или перезапуска системы с помощью средства просмотра событий или запроса журналов событий с помощью PowerShell и командной строки.
Это руководство покажет вам, как проверить, почему устройство выключилось в Windows 11.
Чтобы проверить журналы просмотра событий и определить, почему устройство было выключено или перезапущено в Windows 11, выполните следующие действия:
- Откройте Пуск.
- Найдите средство просмотра событий и щелкните верхний результат, чтобы открыть приложение.
- Просмотрите следующий путь: Просмотр событий > Журналы Windows > Система
- Щелкните правой кнопкой мыши категорию «Система» и выберите параметр «Фильтровать текущий журнал».
- В текстовом поле «Все идентификаторы событий» укажите следующие идентификационные номера, разделенные запятой:
- 41 — Устройство не перезапустилось правильно, используя сначала чистое завершение работы. Это событие может быть вызвано тем, что компьютер перестал отвечать на запросы, вышел из строя или неожиданно потерял питание.
- 1074 — это событие запускается, когда пользователь инициирует ручное отключение или перезапуск. Или когда система перезагружается автоматически для применения обновлений, например. Если вы использовали команду выключения с пользовательским сообщением, информация будет записана в разделе «Комментарий».
- 6006 — это событие регистрируется, когда система журнала событий была остановлена во время корректного завершения работы. Эта ошибка обычно возникает после ошибки 1074.
- 6005 — это событие было зарегистрировано при запуске системы журнала событий, которая может указать, когда компьютер был запущен.
- 6008 — Указывает, что предыдущее завершение работы системы было неожиданным. Эта ошибка обычно возникает после ошибки 41.
- Краткое примечание: ввод должен выглядеть так: 41 1074 6006 6605 6008. Windows регистрирует множество типов журналов, это лишь несколько событий, которые можно использовать для диагностики проблемы.
- Нажмите кнопку ОК.
- Дважды щелкните журнал, чтобы подтвердить информацию.
- Подсказка: для перехода между событиями можно использовать стрелки вниз и вверх на клавиатуре. При перемещении между журналами подробности будут появляться внизу экрана на вкладке «Общие».
После того, как вы выполните шаги, информация позволит вам определить время и возможную причину (например, синий экран смерти, сбой, неожиданное отключение питания и т. д.), которая могла вызвать перезагрузку или завершение работы.
Если вы не можете связать эти журналы с журналом ошибок другого системного компонента, будет сложно определить, что именно вызвало неожиданное завершение работы. Однако эти события помогут понять, что произошло и где искать дальше.
Как определить причину выключения в Windows 11 из PowerShell
Чтобы узнать причину завершения работы Windows 11 (или 10) с помощью PowerShell, выполните следующие действия:
- Откройте Пуск.
- Найдите PowerShell и щелкните верхний результат, чтобы открыть приложение.
- Введите следующую команду для просмотра журналов событий и нажмите Enter: Get-WinEvent -FilterHashtable @{LogName=»System»; Ид = 41, 1074, 6006, 6605, 6008; } | Идентификатор списка форматов, LevelDisplayName, TimeCreated, Message
- Проверьте информацию журнала, чтобы определить время и причину отключения.
После того, как вы выполните эти шаги, в событиях будет указана дата, время и причина, по которой Windows 11 была выключена или перезагружена.
Как определить причину выключения в Windows 11 из командной строки
Чтобы проверить, почему компьютер выключается с помощью командной строки, выполните следующие действия:
- Откройте Пуск.
- Найдите командную строку и щелкните верхний результат, чтобы открыть приложение.
- Введите следующую команду для просмотра журналов событий и нажмите Enter: система wevtutil qe /q:»*[System[(EventID=41) or (EventID=1074) or (EventID=6006) or (EventID=6005) or (EventID=6008)]]» /c:100 /f:текст /rd:истина
- Краткое примечание: приведенная выше команда проверит 100 последних журналов на наличие информации о завершении работы. Вы можете изменить параметр «/c:100», указав другое число, чтобы проверять больше или меньше событий.
- Проверьте описание каждого журнала, чтобы определить время и причину отключения.
Выполнив шаги, вы поймете, почему компьютер был неожиданно выключен или перезагружен.
Если вы используете параметр PowerShell или командную строку, вы также можете экспортировать выходные данные в текстовый файл с помощью этих инструкций.
Дополнительные ресурсы
Дополнительные полезные статьи, охват и ответы на распространенные вопросы о Windows 10 см. на следующих ресурсах:
(откроется в новой вкладке)
Передовая операционная система
Обновленный дизайн в Windows 11 позволяет вам делать то, что вы хотите, легко и безопасно, с биометрическими входами в систему для зашифрованной аутентификации и расширенной антивирусной защитой.
Event Id 1074 – This event is logged when the user initiates a windows system restart or shutdown through Ctrl + Alt + Delete and clicks on Shut Down or an application causes the windows server to restart.
Event Id 1074 is logged under the System log and subcategory restart or shutdown.
The process C:WindowsSystem32RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeekadmin for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment: In this article, we will discuss system shutdown and restart event id and possible reasons to log event id 1074.
Event id 1074 is written to the System log when either application causes a system restart or a user-initiated a system restart or shutdown through Ctrl+Alt +Delete.
If a user initiates a system restart, it will write this event id 1074 as
The process C:WindowsSystem32RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeekadmin for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment: 
In the above event log message, it shows the user ShellGeekadmin initiated system restart.
The process RuntimeBroker.exe triggers a restart event and information logs under event shutdown type as restart and source is User32.
Cool Tip: Event Id 4670 – Permissions on an object were changed!
Event Id 1074 Reason Code
An application can cause system restart and log this event id 1074 with reason code and the process name.
The process c:ShellGeekadmindownloadsssms-setup-enu.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeekadmin for the following reason: Application: Installation (Planned)
Reason Code: 0x80040002
Shutdown Type: restart
Comment: In the above windows system event log id 1074, an application ssms-setup-enu.exe ( SQL Server installer) has initiated the restart of the computer and this event reason code is 0x80040002
Cool Tip: Event Id 4625 Status Code 0xc000006a – Fix to find the source of attempt!
Event Id 1074 legacy api shutdown
Legacy API shutdown message means that some process issued programmatically system shut down requests using older windows API hooks.
Let’s understand event 1074 legacy API shutdown using an example.
The process C:Program Files (x86)tempvulscan.exe (Corp-Eu-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user NT AUTHORITYSYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: restart
Comment: Close applicationsIn the above event log message, the vulscan.exe process programmatically issued a shutdown request for the reason Legacy API shutdown and with reason code 0x80070000
Cool Tip: How to manipulate Active Directory UserAccountControl flags in PowerShell!
Conclusion
I hope the above article on Event Id 1074 is helpful to you.
You can monitor system restart events and their possible reason and reason code using Event Id 1074.
An application or a user can initiate a system shut down or restart request on a workstation, using this event 1074 you can monitor windows server shut down and restart history.
Cool Tip: Event Id 4771 – Kerberos pre-authentication failed!
You can find more topics about PowerShell Active Directory commands and PowerShell basics on the ShellGeek home page.
You can read more on other windows security and system event logs as given:
- Event Id 4625 0xc000006a – Account Failed to Log on
- Event Id 4634 – An Account was logged off
- Error Code 0xc0000234 – Event Id 4776 – Fix
- Event Id 4624 – An account was successfully logged on.
- Remove From My Forums
-
Question
-
I lost hours of work last night with a Windows 10 auto upgrade shutdown.
I’ve tried many methods found on Google to disable automatic restarts due to auto updates.
Win10 does prompt me now, to which I click postpone, but then at 1am it shut down and I lost my unsaved project.
why Win10 thinks its reboot is more important than my work?
How can I stop this type of reboot?
This is the message in event viewer after the restart next morning.
[ Guid]
{b0aa8734-56f7-41cc-b2f4-de228e98b946}
[ EventSourceName]
User32
Keywords
0x8080000000000000
[ SystemTime]
2017-08-30T12:54:43.415968500Z
param1
C:WINDOWSsystem32winlogon.exe (SIMON-PC-3)
param3
Operating System: Upgrade (Planned)
param7
NT AUTHORITYSYSTEM
Event Id 1074 – This event is logged when the user initiates a windows system restart or shutdown through Ctrl + Alt + Delete and clicks on Shut Down or an application causes the windows server to restart.
Event Id 1074 is logged under the System log and subcategory restart or shutdown.
The process C:\Windows\System32\RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment: In this article, we will discuss system shutdown and restart event id and possible reasons to log event id 1074.
Event id 1074 is written to the System log when either application causes a system restart or a user-initiated a system restart or shutdown through Ctrl+Alt +Delete.
If a user initiates a system restart, it will write this event id 1074 as
The process C:\Windows\System32\RuntimeBroker.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment: In the above event log message, it shows the user ShellGeek\admin initiated system restart.
The process RuntimeBroker.exe triggers a restart event and information logs under event shutdown type as restart and source is User32.
Cool Tip: Event Id 4670 – Permissions on an object were changed!
Event Id 1074 Reason Code
An application can cause system restart and log this event id 1074 with reason code and the process name.
The process c:\ShellGeek\admin\downloads\ssms-setup-enu.exe (Corp-EU-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user ShellGeek\admin for the following reason: Application: Installation (Planned)
Reason Code: 0x80040002
Shutdown Type: restart
Comment: In the above windows system event log id 1074, an application ssms-setup-enu.exe ( SQL Server installer) has initiated the restart of the computer and this event reason code is 0x80040002
Cool Tip: Event Id 4625 Status Code 0xc000006a – Fix to find the source of attempt!
Event Id 1074 legacy api shutdown
Legacy API shutdown message means that some process issued programmatically system shut down requests using older windows API hooks.
Let’s understand event 1074 legacy API shutdown using an example.
The process C:\Program Files (x86)\temp\vulscan.exe (Corp-Eu-S17) has initiated the restart of computer Corp-EU-S17 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: restart
Comment: Close applicationsIn the above event log message, the vulscan.exe process programmatically issued a shutdown request for the reason Legacy API shutdown and with reason code 0x80070000
Cool Tip: How to manipulate Active Directory UserAccountControl flags in PowerShell!
Conclusion
I hope the above article on Event Id 1074 is helpful to you.
You can monitor system restart events and their possible reason and reason code using Event Id 1074.
An application or a user can initiate a system shut down or restart request on a workstation, using this event 1074 you can monitor windows server shut down and restart history.
Cool Tip: Event Id 4771 – Kerberos pre-authentication failed!
You can find more topics about PowerShell Active Directory commands and PowerShell basics on the ShellGeek home page.
You can read more on other windows security and system event logs as given:
- Event Id 4625 0xc000006a – Account Failed to Log on
- Event Id 4634 – An Account was logged off
- Error Code 0xc0000234 – Event Id 4776 – Fix
- Event Id 4624 – An account was successfully logged on.
Привет. Недавно столкнулся с очень неприятной ситуацией — часть серверов начала самопроизвольно выключаться. Какой — либо закономерности в выключениях проследить не удавалось. Единственное что объединяло серверы — это то что на них была установлена ОС Windows Server 2012 или выше, и большая их часть имеет роль терминальных. Ах да, еще все эти серверы — виртуальные и работают под управлением Hyper V. Хочу сегодня рассказать, в чем была проблема.
Конечно, любая диагностика должна начинаться с анализа логов. И вот какое событие удалось обнаружить непосредственно перед выключениями серверов – событие 1074, user32:
The process C:\Windows\system32\winlogon.exe (DC) has initiated the power off of computer DC on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
Comment:
По ним становится понятно, что работа завершается штатно. Что в общем то позволяет исключить влияние железа, хотя оно и так было исключено, т. к. все серверы виртуальные. Под подозрение попал гипервизор, но рысканье вдоль и поперек по логам ни какого результата не дало. События относящиеся к завершениям работы не имели отношения к инициализации завершения работы. Говорят, что виртуальные машины могут в редких случаях произвольно выключаться, если есть проблемы со свободной памятью, но в моем случае памяти было более чем достаточно.
В общем думаю хватит томить, и пора рассказать вам, в чем же в итоге было дело. Подключившись по RDP, я сидел и размышлял, что же может быть причиной подобного завершения работы. И вот из-за бездействия меня выбило на экран ввода пароля, где я обнаружил вот такой экран:
Обратите внимание на нижний угол:
Да, это мать его, завершение работы системы. Оказывается с 2012 винды MS сделали эту кнопку доступной при подключении по RDP.
Отвечает за эту кнопку параметр в групповой политике —
Computer Configuration – Policies – Windows Settings – Local Policies – Security Options – Shutdown: Allow system to be shut down without having to log on.
Отключаем его и всё, возможности выключить сервер у пользователей не будет.
Почему в моем случае этот параметр оказался включенным — остается загадкой. Скорее всего кто-то когда-то давным-давно его включил. Хотя, не исключаю, что он оказывается включенным при переходе с 2008 домена, проверять, честно говоря, лень. Кто в курсе, напишите в комментариях, в каком состоянии находится этот параметр при добавлении контроллера домена Windows 2012 в домен с уровнем 2008r2 или ниже.
В общем и целом, после изменения этого параметра мистические выключения прекратились.
Надеюсь, информация окажется вам полезной.
Известно, что выключать компьютер могут не только пользователи. Инициировать завершение работы Windows способны также встроенные и сторонние приложения, ещё система может завершить работу аварийно вследствие разных ошибок. А теперь представьте себе такую ситуацию. Уходя из дома, вы оставили свой компьютер включенным, а вернувшись, нашли его выключенным. Возможно, вы захотите узнать, что же стало причиной выключения компьютера.
Как узнать, что стало причиной аварийного завершения работы Windows 10
Так вот, сделать это очень просто. В Windows 7, 8.1 и 10 все события, связанные с завершением работы или перезагрузкой, записываются в системный журнал. Каждое событие имеет соответствующий код. Событие с кодом 1074 указывает, что завершение работы системы было инициировано приложением, например, таймером или Центром обновления Windows. Если событие имеет код 6006, работа Windows была завершена пользователем в обычном режиме. Если же событие обозначено кодом 6008, причиной завершения работы Windows стала ошибка или внезапное отключение электропитания. Получить доступ ко всем этим данным нетрудно. Откройте командой eventvwr.msc
встроенный Журнал событий, в левой колонке выберите Журналы Windows → Система, а справа нажмите ссылку «Фильтр текущего журнала».
В открывшемся окне в поле включения или исключение кодов событий введите через запятую числа 1074, 6006, 6008 и нажмите OK.
Окно закроется, и записи в центральной колонке главного окна будут отфильтрованы согласно заданным параметрам.
Теперь вы можете просматривать интересующие вас события, кликая по ним мышкой, также журнал предоставляет возможность сохранения выбранных событий в текстовый лог формата XML, CSV или ТXТ для последующего изучения в автономном режиме.
Иногда требуется выяснить причину перезагрузки Windows сервера, который не должен был перезагружаться, но всё же сделал это.
В меню «Пуск» найдите приложение: «Просмотр событий» или «Eventvwr«, и запустите его. Дальше перейдите в «Журналы Windows / Система«. Затем справа нажмите «Фильтр текущего журнала«.
В открывшемся окне, в поле «Все коды событий» впишите следующие коды: 41,1074,1076,6005,6006,6008,6009,6013. Ниже я напишу что они означают.
После нажатия на OK, журнал сократится и вы будите видеть только те события, которые связаны с перезагрузкой или выключением компьютера.
Используемые коды событий
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий». Указывает на включение системы. |
| 6006 | Остановка «Журнала событий». Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы в секундах. |
Узнаём причину перезагрузки Windows на моём примере
Итак, начинаем листать события сверху вниз.
Вам может быть интересно: Бесплатные утилиты для Windows