Windows事件日志是一个明显的答案,但我应该查看的完整事件列表是什么?
我发现这些帖子部分回答了我的问题:
> Windows server last reboot time包含几个部分解决完整重启历史记录的答案
> View Shutdown Event Tracker logs under Windows Server 2008 R2包含额外的活动ID
> Event Log time when Computer Start up / boot up包含一些相同的事件ID
但这些并未涵盖AFAIK的每个场景,而且信息很难理解,因为它分布在多个答案中.
我有几个版本的Windows Server,因此适用于至少版本2008,2008 R2,2012和2012 R2的解决方案将是理想的选择.
> How To See PC Startup And Shutdown History In Windows
列出要监视的这些事件ID(引用但是从文章中编辑和重新格式化):
> Event ID 6005:“事件日志服务已启动.”这与系统启动同义.
> Event ID 6006:“事件日志服务已停止.”这与系统关闭同义.
> Event ID 6008:“之前的系统关闭是意外的.”记录系统未正常关闭后启动.
> Event ID 6009:表示在引导时检测到的Windows产品名称,版本号,内部版本号,Service Pack号和操作系统类型.
>事件ID 6013:显示计算机的正常运行时间.此ID没有TechNet页面.
> Event ID 1074:“进程X代表用户Y启动了计算机的重启/关闭,原因如下:Z.”表示应用程序或用户启动了重新启动或关闭.
> Event ID 1076:“用户X为此计算机上次意外关闭提供的原因是:Y.”具有关闭权限的第一个用户在意外重新启动或关闭后登录到计算机并记录该事件的原因.
我错过了吗?