Afficher les journaux d'arrêt du moniteur d'événements sous Windows Server 2008 R2

39

J'essaie d'afficher les journaux d'arrêt du moniteur d'événements dans l'observateur d'événements, sous Windows Server 2008 r8, mais je ne trouve pas les messages que j'ai fournis lors du précédent redémarrage du serveur.

Où puis-je voir ces journaux dans l'observateur d'événements?

windows-server-2008-r2 eventviewer empileur
la source

Réponses:

57

Visionneuse d'événement ouverte. Développez les journaux Windows. Cliquez sur système, puis recherchez ou filtrez pour l'ID d'événement 1074. Et vous verrez tous vos journaux arrêtés.

Jacob
la source
merci, c'est très pratique. Windows ne facilite pas la navigation dans les journaux sans savoir ce que vous recherchez
Gordon Carpenter-Thompson
16
Vous devez également inclure 1076 (arrêt non planifié) et un filtre pour l'utilisateur source 32
8
De plus, l'événement 6008 "Arrêt inattendu" pourrait être intéressant ...
Nenotlep
@Jobob, comment obtenez-vous la liste des ID d'événement et ce qu'ils représentent?
Pacerier
1
@Pacerier Bonne chance avec ça .... mais voici un début: eventid.net
leeand00
12

Je sais que c'est une très vieille question. Mais cela pourrait aider quelqu'un qui recherche la même solution. vous pouvez utiliser une seule ligne dans powershell (disponible dans tous les systèmes d'exploitation après le gain de 2003) pour connaître l'historique de redémarrage. Ouvrez simplement powershell.exe à partir de l'invite d'exécution et entrez la commande ci-dessous.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
gbabu
la source
9

Si vous ou d'autres personnes essayez simplement de trouver l'heure de démarrage la plus récente, le moyen le plus simple que j'ai trouvé est de l'exécuter dans cmd:

systeminfo | find "System Boot Time"

De powercram.com

Brad
la source
Si vous ne voyez rien, supprimez simplement la découverte. Je n'avais pas cette information là-bas, mais j'avais "System Up Time".
Nenotlep
@Nenotlep, Le mieux est de faire simplement une affaire de recherche insensible: systeminfo | find /i "system" | find /i "time". Fonctionne sur tous les systèmes
Pacerier
2

Une autre approche utile que j'ai trouvée, puisque nous surveillons fréquemment les serveurs hébergés chez notre fournisseur de services Internet, consiste à créer une vue d'événement personnalisée comme suit:

Ouvrez l'observateur d'événements puis

  • Clic droit vues personnalisées
  • Cliquez sur Créer une vue personnalisée.
  • Sous l'onglet Filtre
    • Garder une trace à tout moment
    • Sélectionnez tous les types de niveau d'événement (critique, avertissement, etc.)
    • Choisissez par source = Journaux Windows> Système
    • Pour l'ID d'événement dans la section ID d'inclusion / exclusion d'événements, entrez 1074 pour l'ID d'événement
  • Cliquez sur OK
  • Entrez un nom comme Shutdown Events et toute description puis
  • Cliquez à nouveau sur Ok pour terminer le journal des événements personnalisé.

Votre nouvelle vue personnalisée doit apparaître dans la liste des vues personnalisées avec le filtre approprié appliqué.

Jacques
la source
1
Sur la base des autres réponses, j'ai changé cette étape pour mes points de vue:For Event ID under the Includes/Excludes Event IDs section enter 1074,1076,6008 for the Event ID
Jeroen Wiert Pluimers
1

One-liner légèrement plus propre Powershell que j’utilise pour filtrer les ID d’événement liés à l’arrêt:

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

Pour limiter cela aux propriétés les plus utiles:

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

Vous pouvez également rechercher par texte:

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w
Amit Naidu
la source
0

Développez The Windows Logsdans The Event ViewerApplication et sélectionnez System. Puis dans The System Panel, apparaît généralement au milieu, triez-les par niveau ou par ID.

Cliquez sur chaque entrée pour voir la description dans le panneau du bas

m.r226
la source