通过Windows事件查看器查询系统关机和重启日志

发布时间:2024年01月10日


前言

昨天服务器应用程序的接口突然都访问不了,远程进入了服务器发现程序没有问题,但服务器的桌面非常干净(一般总有未关的文件夹和文件挂载在桌面上),这时我怀疑有人重启了服务导致接口突然不能访问然后又突然好了。Windows系统有什么工具可以查看开机和关机日志呢?这时我想到了事件查看器


一、事件查看器是什么?

Windows事件查看器(Windows Event Viewer)是Windows操作系统集成的一项功能,用于查看和分析系统事件和日志。它可以提供关于系统、应用程序和安全的事件信息,帮助用户追踪问题、诊断错误和维护系统的稳定性。

Windows事件查看器可以记录各种类型的事件,例如应用程序错误、系统故障、设备驱动程序问题、安全审计等。它收集并保存了系统的事件日志,用户可以根据需要进行搜索、筛选和分析。

通过Windows事件查看器,用户可以查看事件的详细信息,例如发生时间、事件级别、事件来源、事件说明等。用户还可以创建和管理自定义事件日志,设置事件过滤器和提醒,以便及时发现并解决系统问题。

二、怎么使用事件查看器查看开机和关机日志

第一步:按下Win + R键,输入"eventvwr.msc",然后按Enter键
在这里插入图片描述
在这里插入图片描述
第二步:在事件查看器中,左侧面板会显示一系列的事件日志,如"Windows 日志"、"应用程序和服务日志"等。点击其中一个日志类别以展开其细分
在这里插入图片描述
第三步:根据事件ID筛选当前日志
6005和6006分别是开机和关机事件。
在这里插入图片描述

三、Windows常用事件ID

安全日志事件

事件ID说明
4624成功的账号登录
4625登录尝试失败
4634用户注销
4648使用明显凭证的登录尝试
4672分配专用权限的用户登录
4720创建用户帐户
4728向安全组中添加成员
4732向本地组中添加成员
4740用户帐户被锁定

系统日志事件

事件ID说明
6005事件日志服务已启动(开机)
6006事件日志服务已停止(关机)
6008不正常关机的日志
7001服务依赖关系失败,无法启动服务
7009服务超时(在启动设置的时间内未能启动)
7011服务响应失败(未在预期时间内响应请求)

应用程序日志事件

事件ID说明
1000应用程序错误(负责记录应用程序崩溃事件)
1001应用程序挂起(记录程序悬停或响应超时)
1002应用程序响应停止

DC(域控制器)特定事件:

事件ID说明
4741创建计算机帐户
4767用户账户解锁
4781更改帐户名称

请记住,事件 ID 只有当它与其他信息(如源、消息、涉及的用户账户等)结合起来时才最有用。同时,由于各种操作系统版本(Windows Server 2003、2008、2012、2016、2019,Windows 7、8、10、11)之间存在差异,部分事件 ID 可能会发生变化。此外,第三方应用程序和服务可以定义它们自己的事件 ID。因此,针对特定的事件 ID 解读,最好以实际环境中它发生的上下文为准。


总结

总之,使用Windows事件查看器可以方便地查看系统的事件日志,并对系统问题进行分析和解决。

文章来源:https://blog.csdn.net/qq_25905177/article/details/135499561
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。