打开事件查看器下拉菜单,再打开Windows日志下拉菜单,点击系统。 点击右边的“筛选当前日志”,事件来源选择eventlog,ID输入以下几种: 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进入系统。 6006,表示日志服务已停止,用来判断系统关机。 6009,表示非正常关机, 按c...
事件查看器 按下快捷键win+R,在弹出的运行对话框中输入eventvwr.msc或者在windows搜索岚搜索事件查看器可以打开事件查看器。 进入Windows 日志 -> 系统点击右侧的筛选当前日志, 筛选栏输入6005,6006,1074 // 常用事件id1074,查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示日志服务已启动,用来判断正常...
Windows系统日志可以通过右击计算机-管理-事件查看器,或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”进行查询。 Windows日志常用事件ID 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进⼊系统。
3、在系统日志右侧操作中,点击“筛选当前日志”,输入事件ID进行筛选。 其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况(开关机)。 6005 信息 EventLog 事件日志服务已启动。(开机) 6006 信息 EventLog 事件日志服务已停止。(关机) 6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机 我们输入...
查看系统日志的标准方法是使用Windows系统自带的“事件查看器”(可以通过运行“eventvwr”来启动),如下图: 在事件查看器中,系统日志被分为成Windows日志和应用程序和服务日志两大类,其中Windows日志包括了应用程序、安全、Setup、系统和forwarded events(转发事件)。
6009:表示非正常关机,如按下Ctrl+Alt+Delete,信息内容为“EventLog 按ctrl、alt、delete键(非正常)关机”。对于Windows 2003 Server,管理员可以通过Web访问接口远程查看日志。在本地客户端,使用IE浏览器输入服务器的IP地址和端口(如“https://192.168.0.1:8098”),输入管理员账号和密码登录。...
或者win + R:eventvwr.msc 2.EVENT ID含义 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,常见如下 4624 登录成功 4625 登录失败 4634 注销成功 4647 用户启动的注销 4672 使用超级用户登录(管理员)进行登录 4720 创建用户 4776 成功/失败的账户认证 ...
1、按下Win + R键打开运行对话框,输入eventvwr.msc并按回车。 2、在事件查看器中,依次展开Windows 日志>系统。 3、在右侧的列表中找到事件ID为6005或6009的事件,这些事件表示系统启动。 4、双击事件,查看事件的详细信息,其中包括了启动时间。 使用命令提示符查看启动时间 ...
Event IDs 13, 41, 1074, 6008, and 6009 can help determine if a reboot is normal or unexpected. The typical event IDs that indicate a normal reboot are Event ID 1074 followed by Event ID 13 and Event ID 6009. An unexpected reboot is denoted by Event ID 41 and Event ...
OS: Windows Server 2018 My office server shuts down consistently and repeatedly (5-8 times daily) during midnight 12am - 7am, causing Event ID 6009 - 'unexpected shutdown' After checking the logs, I do notice that [Event 7026] appears every time after