Exibir logs do Rastreador de eventos de desligamento no Windows Server 2008 R2

39

Estou tentando exibir os logs do Rastreador de eventos de desligamento no Visualizador de eventos, no Windows Server 2008 r8, mas não consigo encontrar as mensagens que forneci quando reiniciei o servidor anteriormente.

Onde no Visualizador de Eventos posso ver esses logs?

windows-server-2008-r2 eventviewer empilhador
fonte

Respostas:

57

Abra o visualizador de eventos. Expanda os logs do Windows. Clique em sistema e localize ou filtre a ID do evento 1074. E você verá todos os seus logs de desligamento.

Jacob
fonte
obrigado, isso é muito útil. O Windows não torná-lo fácil de navegar os logs sem saber o que você está procurando
Gordon Carpenter-Thompson
16
Você também deve incluir 1076 (desligamento não planejado) e filtrar o usuário de origem32
8
Também o evento 6008 "Desligamento inesperado" pode ser interessante ...
Nenotlep 26/07
@ Jacob, Como você obtém a lista de IDs de eventos e o que eles representam?
Pacerier 30/07/2015
11
@Pacerier Boa sorte com isso .... mas aqui está um começo: eventid.net
leeand00
12

Eu sei que esta é uma pergunta muito antiga. Mas isso pode ajudar alguém que está procurando a mesma solução. você pode usar uma única linha no powershell (disponível em todos os sistemas operacionais posteriores ao Windows 2003) para descobrir o histórico de reinicialização. Basta abrir o powershell.exe no prompt de execução e digite o comando abaixo.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
gbabu
fonte
9

Se você ou outras pessoas estão apenas tentando encontrar o tempo de inicialização mais recente, a maneira mais fácil que encontrei é executar isso no cmd:

systeminfo | find "System Boot Time"

De powercram.com

Brad
fonte
Se você não vir nada, basta remover a localização. Eu não tinha essa informação lá, mas tinha "System Up Time".
Nenotlep 26/07
@Nenotlep, melhor é simplesmente fazer um caso de busca insensível: systeminfo | find /i "system" | find /i "time". Funciona em todos os sistemas
Pacerier
2

Outra abordagem útil que encontrei, já que monitoramos frequentemente nossos servidores hospedados no ISP quanto a interrupções, é criar uma exibição de evento personalizada da seguinte maneira:

Abra o Visualizador de Eventos e, em seguida,

  • Clique com o botão direito do mouse em Visualizações Personalizadas
  • Clique em Criar exibição personalizada
  • Na guia Filtro
    • Manter logado como a qualquer momento
    • Selecione todos os tipos de nível de evento (Crítico, Aviso etc.)
    • Escolha por origem = Logs do Windows> Sistema
    • Para Identificação do evento, na seção Inclui / exclui identificação de evento, insira 1074 para a identificação do evento.
  • Clique OK
  • Digite um nome como Eventos de desligamento e qualquer descrição
  • Clique em Ok novamente para concluir o log de eventos personalizado.

Sua nova visualização personalizada deve aparecer na lista de visualizações personalizadas com o filtro correto aplicado.

Jacques
fonte
11
Com base nas outras respostas, alterei esta etapa para meus pontos de vista:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID
Jeroen Wiert Pluimers
1

Uma linha do Powershell ligeiramente mais limpa que eu uso para filtrar os EventIDs relacionados ao desligamento:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Para restringir isso apenas às propriedades mais úteis:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Como alternativa, para pesquisar por texto da mensagem:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w
Amit Naidu
fonte
0

Expanda The Windows Logsem The Event ViewerAplicativo e selecione System. Em seguida The System Panel, geralmente aparece no meio, classifique-os por Nível ou ID.

Clique em Em todas as entradas para ver a descrição no painel inferior

m.r226
fonte