Windows सर्वर इतिहास को पुनरारंभ / बंद करता है


87

मेरे Windows सर्वर के पुनरारंभ होने या बंद होने और उपयोगकर्ता-आरंभ, सिस्टम-आरंभ, और सिस्टम क्रैश होने के कारण को मैं आसानी से कैसे देख सकता हूं?

विंडोज इवेंट लॉग एक स्पष्ट उत्तर है, लेकिन उन घटनाओं की पूरी सूची क्या है जिन्हें मुझे देखना चाहिए?

मुझे ये पोस्ट मिलीं जो आंशिक रूप से मेरे प्रश्न का उत्तर देती हैं:

लेकिन वे हर परिदृश्य AFAIK को कवर नहीं करते हैं और जानकारी को समझना मुश्किल है क्योंकि यह कई उत्तरों में फैला हुआ है।

मेरे पास विंडोज सर्वर के कई संस्करण हैं इसलिए एक समाधान जो कम से कम 2008, 2008 R2, 2012 और 2012 R2 के लिए काम करता है, आदर्श होगा।


1
कुछ स्थितियों में Nirsoft का TurnedOnTimesView काफी अच्छा हो सकता है। ( nirsoft.net/utils/computer_turned_on_times.html ) यह रिबूट और शटडाउन बार दिखाता है।
पीटर हैहंडोफ

क्या आप बाहरी निगरानी उपकरण, .eg, opsview, nagios, icinga, shinken का उपयोग करते हैं? ये उपकरण एक डेटाबेस में निगरानी परिणामों को संग्रहीत करते हैं और फिर आप जाँच सकते हैं कि क्या सर्वरों को फिर से शुरू किया गया है और कब,
030

जवाबों:


100

सबसे स्पष्ट जवाब मैं पा सकता है:

जो इन ईवेंट आईडी को मॉनिटर करने के लिए सूचीबद्ध करता है (उद्धृत किया गया है लेकिन लेख से संपादित और पुन: स्वरूपित किया गया है):

  • इवेंट आईडी 6005 ( वैकल्पिक ): "इवेंट लॉग सेवा शुरू की गई थी।" यह सिस्टम स्टार्टअप का पर्याय है।
  • इवेंट ID 6006 ( वैकल्पिक ): "इवेंट लॉग सेवा रोक दी गई थी।" यह सिस्टम शटडाउन का पर्याय है।
  • इवेंट ID 6008 ( वैकल्पिक ): "पिछले सिस्टम शटडाउन अप्रत्याशित था।" रिकॉर्ड कि यह सिस्टम ठीक से बंद नहीं होने के बाद शुरू हुआ था।
  • इवेंट आईडी 6009 ( वैकल्पिक ): बूट समय पर पता चला विंडोज उत्पाद का नाम, संस्करण, बिल्ड नंबर, सर्विस पैक नंबर और ऑपरेटिंग सिस्टम प्रकार दर्शाता है।
  • इवेंट आईडी 6013: कंप्यूटर के अपटाइम को प्रदर्शित करता है। इस आईडी के लिए कोई TechNet पेज नहीं है।

मेरे ओपी में सूचीबद्ध सर्वर फॉल्ट उत्तर से कुछ और जोड़ें:

  • इवेंट ID 1074 ( वैकल्पिक ): "प्रक्रिया X ने निम्न कारणों से उपयोगकर्ता Y की ओर से कंप्यूटर का पुनरारंभ / बंद करने की पहल की है: Z." इंगित करता है कि एक एप्लिकेशन या उपयोगकर्ता ने पुनरारंभ या शटडाउन शुरू किया।
  • इवेंट ID 1076 ( वैकल्पिक ): "इस कंप्यूटर के अंतिम अप्रत्याशित शटडाउन के लिए उपयोगकर्ता X द्वारा दिया गया कारण है: Y" रिकॉर्ड जब शटडाउन विशेषाधिकारों के साथ पहला उपयोगकर्ता अप्रत्याशित पुनरारंभ या शटडाउन के बाद कंप्यूटर पर लॉग ऑन करता है और घटना का कारण बनता है।

क्या मुझे कोई याद आया?


3
बगचेक के कारण बिजली की हानि और रिबूट के बीच अंतर करने के लिए, इवेंट ID 41 (स्रोत: Microsoft-Windows-कर्नेल-पावर) और इवेंट ID 1001: (स्रोत: BugCheck) के संयोजन की तलाश करें। पूर्व के बिना पूर्व बिजली हानि या रीसेट इंगित करता है।
sendmoreinfo

4
यह मददगार था। धन्यवाद johnC फ़िल्टर करंट लॉग विंडो में ईवेंट / एक्सक्लूसिव इवेंट आईडी के इनपुट फ़ील्ड को शामिल करते हुए, मैंने "6005, 6006, 6008, 6009, 6013, 1074, 1076" में प्रवेश किया और इसने मुझे वही दिया जिसकी मुझे आवश्यकता थी।
जॉय

1
आपको शायद Kernel-Generalईवेंटिड के साथ12 जोड़ना चाहिए , जो आमतौर पर रिबूट / रीसेट आदि के बाद लॉग इन किया जाने वाला पहला ईवेंटिड है और वास्तविक "सिस्टम स्टार्ट टाइम" को दिखाता है, अर्थात: "ऑपरेटिंग सिस्टम 2017 के समय में शुरू हुआ - 09 - 19T02: 46: 06.582794900Z "।
हाबिल

इस उत्तर के लिंक टूटे हुए हैं
टिम श्मेल्टर

1
मैं खोज करता हूं, लेकिन इवेंट लॉग कोड पर वर्तमान Microsoft डॉक्स को खोजने में विफल रहा हूं इसलिए मैंने Microsoft डॉक्स जीथब में एक मुद्दा बनाया है ताकि नए एमएस डॉक्स शासन में इस सामग्री को पुनर्जीवित करने की सलाह / सहमति देने के लिए, github.com/MicrosoftDocs/windowsserverdocs/issues / ४४४ । @ टिम-विद्वान कृपया आगे बढ़ें और अपने विचार जोड़ें।
जॉन्स

4

मैं इसे केवल एक टिप्पणी के रूप में छोड़ दूंगा क्योंकि जॉनसी ने मूल रूप से सब कुछ कवर किया है, लेकिन मुझे अभी तक ऐसा करने की अनुमति नहीं है।

उनके द्वारा वर्णित घटनाओं का उपयोग काफी समय से किया गया है, इसलिए वे आपके द्वारा बताए गए किसी भी ओएस के लिए काम करेंगे, साथ ही साथ उनके डेस्कटॉप ब्रेज़ेन भी। इवेंट ID पृष्ठ जो उसने लिंक किए हैं, जैसे कि TechNet पर 6006 के लिए , Windows Server 2003 का उल्लेख है।

यदि कोई शटडाउन शटडाउन था, तो उपयोगकर्ता ने पहल की या अन्यथा, आपको कुछ इवेंट आईडी 7036 देखनी चाहिए जो आपको बता रही है कि विभिन्न सेवाएं "बंद की गई स्थिति" हैं। जैसे ही मशीन फिर से शुरू होती है, आप अधिक 7036 घोषणा करेंगे कि सेवाएं चालू अवस्था में प्रवेश कर रही हैं।


2
यदि आप किसी सेवा को बार-बार साइकिल चला रहे हैं, तो आपको इवेंट ID 7036 का एक बड़ा ब्लॉक भी दिखाई देगा, इसलिए यह पुनरारंभ करने का सबसे अच्छा तरीका नहीं है। आपको पहले जॉनसी द्वारा वर्णित घटनाओं की तलाश करनी चाहिए ।
JTL

3

@ जॉन्क के उत्तर पर बिल्डिंग बनाना और उसका विस्तार करना

आप एक XML फ़िल्टर का उपयोग कर सकते हैं जैसे:

<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

आप समय सीमा के लिए नीचे दिए गए मूल्यों के साथ 172800000 बदल सकते हैं:

86400000 - अंतिम 24 घंटे

172800000 - अंतिम 2 दिन

604800000 - अंतिम 7 दिन

यह उस समय से बहुत अधिक विवरण दिखाएगा जब सर्वर / पीसी ऑफ़लाइन हो गया था इसमें कर्नेल-पावर, उपयोगकर्ता 32 और EventLog इवेंट शामिल हैं।


2

मैं कमांड लाइन से गतिविधियों को पूरा करना पसंद करता हूं। यहाँ एक स्निपेट की शुरुआत है जिसका आप लाभ उठा सकते हैं। यह सबसे हालिया 30,000 सिस्टम रिकॉर्ड दिखाता है और उन रिकॉर्ड्स के भीतर रिबूट्स लौटाता है।

Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.