Antworten:
Öffnen Sie die Ereignisanzeige. Erweitern Sie Windows-Protokolle. Klicken Sie auf "System" und suchen oder filtern Sie nach der Ereignis-ID 1074. Daraufhin werden alle Ihre Herunterfahrprotokolle angezeigt.
Ich weiß, das ist eine sehr alte Frage. Dies könnte jedoch jemandem helfen, der nach der gleichen Lösung sucht. Sie können eine einzelne Zeile in Powershell (die in allen Betriebssystemen nach Windows 2003 verfügbar ist) verwenden, um den Neustartverlauf zu ermitteln. Öffnen Sie einfach powershell.exe über die Eingabeaufforderung und geben Sie den folgenden Befehl ein.
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
Wenn Sie oder andere nur versuchen, die letzte Startzeit zu ermitteln, ist die einfachste Möglichkeit, die ich gefunden habe, die folgende in cmd auszuführen:
systeminfo | find "System Boot Time"
Von powercram.com
systeminfo | find /i "system" | find /i "time". Funktioniert auf allen Systemen
Ein weiterer nützlicher Ansatz, den ich gefunden habe, da wir unsere von ISP gehosteten Server häufig auf Ausfälle überwachen, ist das Erstellen einer benutzerdefinierten Ereignisansicht wie folgt:
Öffnen Sie dann die Ereignisanzeige
Ihre neue benutzerdefinierte Ansicht sollte in der Liste der benutzerdefinierten Ansichten mit dem richtigen Filter angezeigt werden.
For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID
Etwas sauberer Powershell-Einzeiler, mit dem ich herunterfahrbezogene EventIDs herausfiltere:
Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w
So beschränken Sie dies auf die nützlichsten Eigenschaften:
Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w
Alternativ können Sie nach Nachrichtentext suchen:
Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w