通过事件查看器检查Windows异常关机情况

admin 2024年9月12日10:38:58评论20 views字数 742阅读2分28秒阅读模式

通过Windows的事件查看器可以查看系统的开关机事件,当系统出现异常关机时可以作为辅助诊断工具。

在命令行中运行 eventvwr.msc 可以启动事件查看器,开关机事件在“Windows日志”->“系统”节点下:

通过事件查看器检查Windows异常关机情况

通过事件 ID 筛选开关机事件

通过事件查看器检查Windows异常关机情况

开关机事件主要集中在 6005-6008 ,通过范围筛选出对应事件:

通过事件查看器检查Windows异常关机情况

筛选出事件后可以在事件栏中看到相应的事件:

通过事件查看器检查Windows异常关机情况

其中事件ID对应的事件内容为:

  • 6005 事件日志服务已启动。

  • 6006 事件日志服务已停止。

  • 6008 上一次系统的关闭是意外的。

6005 代表Windows系统开机,6006代表系统正常关机,6008代表系统异常关机。当停电、系统崩溃时一般会报 6008 错误,开机后一般会提示系统出现过异常关机:

通过事件查看器检查Windows异常关机情况

将过滤后的事件导出为 csv 日志可以更方便地对事件进行分析:

通过事件查看器检查Windows异常关机情况

导出后的 csv 日志在 wps 中效果如下:

通过事件查看器检查Windows异常关机情况

如何查找事件ID与事件的对应关系?在事件查看器中我们经常会误点到事件的“详细信息”,这个信息太专业了,往往看不懂事件ID对应的事件内容。

通过事件查看器检查Windows异常关机情况

面板切到“常规”选项卡,事件内容会以容易理解的方式显示,比如 6013 事件为系统启动时间。

通过事件查看器检查Windows异常关机情况

事件 153 代表 IO 重试操作:

通过事件查看器检查Windows异常关机情况

事件 157 代表磁盘意外移除:

通过事件查看器检查Windows异常关机情况

事件 ID 与事件内容的对应关系在 github 上能找到一部分,不全但也够用了:

https://gist.github.com/githubfoam/69eee155e4edafb2e679fb6ac5ea47d0

通过事件查看器检查Windows异常关机情况

如果想自己收集事件ID与事件内容间的对应关系,可以使用导出的方法,导出为 CSV 之后再对数据去重,生成中文版的事件ID对应表。后期如果需要定位相应事件可以通过事件ID对事件进行过滤。

全文完。

原文始发于微信公众号(生有可恋):通过事件查看器检查Windows异常关机情况

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月12日10:38:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过事件查看器检查Windows异常关机情况http://cn-sec.com/archives/3157168.html

发表评论

匿名网友 填写信息