Ver los registros del Rastreador de eventos de apagado en Windows Server 2008 R2

39

Estoy tratando de ver los registros del Rastreador de eventos de apagado en el Visor de eventos, en Windows Server 2008 r8, pero no puedo encontrar los mensajes que proporcioné cuando reinicié anteriormente el servidor.

¿Dónde puedo ver estos registros en el Visor de eventos?

windows-server-2008-r2 eventviewer

— apilador
fuente

57

Visor de eventos abierto. Expande los registros de Windows. Haga clic en el sistema, luego busque o filtre el ID de evento 1074. Y verá todos sus registros de apagado.

— Jacob
fuente

gracias, eso es muy útil. Windows no facilita la navegación por los registros sin saber lo que está buscando

— Gordon Carpenter-Thompson

16

También debe incluir 1076 (apagado no planificado) y filtro para el usuario de origen32

8

También el evento 6008 "Apagado inesperado" podría ser interesante ...

— Nenotlep

@Jacob, ¿cómo se obtiene la lista de ID de eventos y lo que representan?

— Pacerier

1

@Pacerier Buena suerte con eso ... pero aquí hay un comienzo: eventid.net

— leeand00

12

Sé que esta es una pregunta muy antigua. Pero esto podría ayudar a alguien que está buscando la misma solución. puede usar una sola línea en powershell (que está disponible en todos los sistemas operativos después de ganar 2003) para averiguar el historial de reinicio. Simplemente abra powershell.exe desde el indicador de ejecución e ingrese el siguiente comando.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

— gbabu
fuente

9

Si usted u otras personas solo intentan encontrar el tiempo de arranque más reciente, la forma más fácil que he encontrado es ejecutar esto en cmd:

systeminfo | find "System Boot Time"

De powercram.com

— Puntilla
fuente

Si no ve nada, simplemente elimine el hallazgo. No tenía esa información allí, pero tenía "Tiempo de funcionamiento del sistema".

— Nenotlep

@Nenotlep, mejor es simplemente hacer una búsqueda que ignore de: systeminfo | find /i "system" | find /i "time". Funciona en todos los sistemas

— Pacerier

2

Otro enfoque útil que he encontrado, ya que supervisamos con frecuencia los servidores alojados en nuestro ISP para detectar interrupciones, es crear una vista de evento personalizada de la siguiente manera:

Abra el Visor de eventos y luego

Haga clic derecho en Vistas personalizadas
Haga clic en Crear vista personalizada
Debajo de la pestaña Filtro
- Mantener registrado como en cualquier momento
- Seleccione todos los tipos de niveles de Evento (Crítico, Advertencia, etc.)
- Elija por fuente = Registros de Windows> Sistema
- Para la ID de evento en la sección Incluye / Excluye ID de evento, ingrese 1074 para la ID de evento
Haga clic en Aceptar
Ingrese un nombre como Shutdown Events y cualquier descripción luego
Haga clic en Aceptar nuevamente para completar el registro de eventos personalizado.

Su nueva vista personalizada debería aparecer en la lista de vistas personalizadas con el filtro correcto aplicado.

— Jacques
fuente

1

Según las otras respuestas, he cambiado este paso para mis puntos de vista:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID

— Jeroen Wiert Pluimers

1

Ligeramente más limpio Powershell one-liner que utilizo para filtrar los EventIDs relacionados con el apagado:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Para restringir eso solo a las propiedades más útiles:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Alternativamente, para buscar por mensaje de texto:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

— Amit Naidu
fuente

0

Expanda The Windows Logsen The Event ViewerAplicación y seleccione System. Luego The System Panel, en , generalmente aparece en el medio, ordénelos por Nivel o ID.

Haga clic en cada entrada para ver la descripción en el panel inferior

— m.r226
fuente