Xem nhật ký theo dõi sự kiện tắt máy trong Windows Server 2008 R2

39

Tôi đang cố gắng xem nhật ký Tắt máy theo dõi sự kiện trong Trình xem sự kiện, trên máy chủ windows 2008 r8, nhưng tôi không thể tìm thấy các tin nhắn mà tôi đã cung cấp khi khởi động lại máy chủ trước đó.

Tôi có thể thấy những bản ghi này ở đâu trong Trình xem sự kiện?

windows-server-2008-r2 eventviewer

— máy xếp
nguồn

57

Mở xem sự kiện. Mở rộng nhật ký cửa sổ. Nhấp vào hệ thống, sau đó tìm hoặc lọc cho ID sự kiện 1074. Và bạn sẽ thấy tất cả các nhật ký tắt của bạn.

— Gia-cốp
nguồn

cảm ơn, điều đó rất tiện dụng Windows không giúp bạn dễ dàng điều hướng các bản ghi mà không cần biết bạn đang tìm kiếm điều gì

— Gordon Carpenter-Thompson

16

Bạn cũng cần bao gồm 1076 (Tắt máy không có kế hoạch) và bộ lọc cho người dùng

8

Ngoài ra sự kiện 6008 "Tắt máy bất ngờ" có thể rất thú vị ...

— Nenotlep

@Jacob, Làm thế nào để bạn có được danh sách ID sự kiện và những gì họ đại diện?

— Pacerier

1

@Pacerier Chúc may mắn với điều đó .... nhưng đây là một sự khởi đầu: eventid.net

— leeand00

12

Tôi biết đây là một câu hỏi rất cũ. Nhưng điều này có thể giúp một người đang tìm kiếm giải pháp tương tự. bạn có thể sử dụng một dòng duy nhất trong powershell (có sẵn trong tất cả các hệ điều hành muộn hơn win 2003) để tìm hiểu lịch sử khởi động lại. Chỉ cần mở powershell.exe từ dấu nhắc chạy và nhập lệnh bên dưới.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

— gbabu
nguồn

9

Nếu bạn hoặc người khác chỉ đang cố gắng tìm thời gian khởi động gần đây nhất, cách dễ nhất tôi đã tìm thấy là chạy nó trong cmd:

systeminfo | find "System Boot Time"

Từ powercram.com

— Brad
nguồn

Nếu bạn không thấy gì, chỉ cần loại bỏ tìm. Tôi không có thông tin đó ở đó, nhưng tôi đã có "System Up Time".

— Nenotlep

@Nenotlep, Tốt nhất là chỉ cần thực hiện tìm kiếm không nhạy cảm trong trường hợp : systeminfo | find /i "system" | find /i "time". Hoạt động trên tất cả các hệ thống

— Pacerier

2

Một cách tiếp cận hữu ích khác mà tôi đã tìm thấy, vì chúng tôi thường xuyên theo dõi các máy chủ lưu trữ ISP của chúng tôi để ngừng hoạt động, là tạo chế độ xem sự kiện tùy chỉnh như sau:

Mở Trình xem sự kiện sau đó

Nhấp chuột phải vào Chế độ xem tùy chỉnh
Nhấp vào Tạo chế độ xem tùy chỉnh
Trong tab Bộ lọc
- Giữ nhật ký như bất cứ lúc nào
- Chọn tất cả các loại cấp Sự kiện (Quan trọng, Cảnh báo, v.v.)
- Chọn theo nguồn = Nhật ký Windows> Hệ thống
- Đối với ID sự kiện trong phần Bao gồm / Không bao gồm ID sự kiện, hãy nhập 1074 cho ID sự kiện
Nhấp vào Ok
Nhập tên như Tắt máy Sự kiện và bất kỳ mô tả nào sau đó
Nhấn Ok lần nữa để hoàn thành nhật ký sự kiện tùy chỉnh.

Chế độ xem tùy chỉnh mới của bạn sẽ hiển thị trong danh sách các chế độ xem tùy chỉnh với bộ lọc chính xác được áp dụng.

— Jacques
nguồn

1

Dựa trên các câu trả lời khác, tôi đã thay đổi bước này theo quan điểm của mình:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID

— Jeroen Wiert Pluimers

1

Dọn dẹp một chút Powershell một lớp lót mà tôi sử dụng để lọc các EventID liên quan đến tắt máy:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Để hạn chế chỉ các thuộc tính hữu ích nhất:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Ngoài ra, để tìm kiếm bằng văn bản tin nhắn:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

— Amit N Nikol
nguồn

0

Mở rộng The Windows Logstrong The Event ViewerỨng dụng và chọn System. Sau đó The System Panel, thường xuất hiện ở giữa, sắp xếp chúng theo Cấp độ hoặc ID.

Nhấp vào Trên mỗi mục để xem mô tả trong bảng dưới cùng

— m.r226
nguồn