Код события перезагрузки Windows

Обновлено: 05.07.2024

Вам интересно, что происходит, когда ваш компьютер выключается и перезагружается? В этот период происходит много событий, и, к счастью, Windows помогает отслеживать весь процесс и ведет запись в системном журнале.

С помощью встроенного средства просмотра событий Windows вы можете отслеживать действия, происходящие на вашем компьютере до, во время и после его выключения или перезапуска. В этой статье мы научим вас, как это сделать, но сначала, что такое средство просмотра событий?

Что такое средство просмотра событий Windows?

Просмотр событий ведет учет приложений и системных сообщений на ПК с Windows 10. Программа регистрирует каждое действие, предпринятое во время работы на компьютере. Тем не менее, если на компьютере работает много пользователей, вы можете использовать средство просмотра событий для отслеживания действий каждого пользователя во время работы устройства.

Кроме того, он помогает пользователям обнаруживать ошибки, информационные сообщения и предупреждения на своих ПК. Более того, вы не можете полностью изменить, остановить или отключить просмотр событий, потому что это основная служба Windows.

Во многих случаях вы можете начать устранение неполадок на компьютере с Windows из средства просмотра событий. Однако, как правило, паниковать не нужно, даже если в системном журнале есть тревожные сообщения или предупреждения. К сожалению, некоторые мошенники используют сообщения в окне просмотра событий, чтобы запугивать и обманывать людей. Они могут манипулировать им, чтобы отображать сообщения об ошибках и предупреждения, даже если ваш компьютер работает правильно.

Без лишних слов давайте покажем вам, как отслеживать, что происходит, когда ваш компьютер выключается или включается, с помощью средства просмотра событий Windows или командной строки.

Наиболее распространенные события, связанные со временем запуска и завершения работы

Выявлено множество событий, связанных с выключением и перезапуском ПК с Windows 10. Тем не менее, в этой статье мы покажем вам четыре самых распространенных, в том числе следующие:

  • Событие с кодом 41. Оно показывает, что ваш компьютер с Windows перезагрузился, но не выключился полностью.
  • Идентификатор события 1074. Компьютер записывает это событие, когда приложение принудительно выключает или перезагружает ноутбук. Это событие также помогает узнать, когда пользователь перезапустил или выключил компьютер из меню "Пуск" или с помощью сочетания клавиш CTRL + ALT + DEL.
  • Идентификатор события 6006: это событие будет записано, если ваш компьютер Windows выключится корректно.
  • Идентификатор события 6008: иногда, когда ваш компьютер аварийно или неожиданно выключается, вы увидите это событие в системном журнале.

Как просмотреть историю запуска и завершения работы ПК в Windows 10?

Вы можете быстро определить события на вашем компьютере после выключения или перезагрузки с помощью средства просмотра событий Windows. Вы также можете получить доступ к некоторым событиям с помощью командной строки, как мы покажем вам ниже.

Как правило, существует два способа проверки событий, связанных с выключением или перезагрузкой компьютера.

1) Просмотр журнала выключения и перезапуска в средстве просмотра событий

Выполните следующие действия, чтобы просмотреть действия по выключению и перезапуску с помощью средства просмотра событий:

  1. Нажмите сочетание клавиш Windows + R, чтобы вызвать диалоговое окно «Выполнить».
  2. Введите «eventvwr.msc» (без кавычек) и нажмите Enter.
  3. Откроются окна просмотра событий. После этого перейдите к Журналы Windows > Система на левой панели.
  4. Нажмите "Фильтровать текущий журнал" справа.
  5. Введите «41 1074 6006 6008» (без кавычек) в текстовое поле в разделе «Включить/исключить идентификаторы событий», а затем нажмите «ОК», чтобы отфильтровать журнал событий.
  6. После выполнения всех шагов в средстве просмотра событий Windows будут отображаться только действия, связанные с завершением работы.

Важное примечание:

В обновлении Windows 10 Fall Creators Update ОС может автоматически повторно открывать приложения, которые работали до выключения или перезагрузки компьютера. Эта информация полезна для пользователей Windows, которые обновили свою ОС до последней версии.

Вы можете избежать этой проблемы, выполнив следующие действия:

  • Добавление уникального контекстного меню «Завершение работы» на рабочий стол для восстановления классического поведения.
  • Просмотр времени последнего завершения работы с помощью командной строки

Не знаете, как проверить время выключения с помощью командной строки Windows? В следующих абзацах мы покажем, как это сделать:

2) Просмотр журнала выключения и перезапуска с помощью командной строки

Если первый метод вам не подходит, вы можете использовать командную строку Windows для проверки системного журнала, выполнив следующие действия:

  1. Нажмите сочетание клавиш Windows + R, чтобы открыть диалоговое окно запуска, а затем введите «cmd» (без кавычек), чтобы открыть командную строку.
  2. Скопируйте и вставьте приведенный ниже код в окно командной строки и нажмите Enter:

система wevtutil qe «/q:*[Система [(EventID=1074)]]» /rd:true /f:text /c:1

  1. Если вместо этого вы хотите просмотреть только отметку времени последнего отключения, скопируйте и вставьте приведенный ниже код, а затем нажмите Enter:

wevtutil qe system «/q:*[Система [(EventID=1074)]]» /rd:true /f:text /c:1 | findstr /i «дата»

Вы можете использовать командную строку для просмотра журнала выключения и запуска в Windows 10. Однако мы рекомендуем использовать средство просмотра событий, главным образом потому, что оно простое и понятное. Кроме того, вам не нужно копировать коды, которыми могут воспользоваться мошенники, чтобы взломать ваш компьютер.

Вы не можете просмотреть журнал перезагрузки и завершения работы на ПК с Windows 10?


Решение проблем с ПК с помощью Auslogics BoostSpeed

Помимо очистки и оптимизации вашего ПК, BoostSpeed ​​защищает конфиденциальность, диагностирует проблемы с оборудованием, предлагает советы по повышению скорости и предоставляет более 20 инструментов для удовлетворения большинства потребностей в обслуживании ПК.

Если у вас есть проблемы с компьютером, такие как поврежденные ключи или ненужные файлы, может возникнуть проблема с просмотром событий перезагрузки и выключения на вашем компьютере. Мы всегда советуем людям использовать наш очиститель реестра, чтобы избавиться от проблемных файлов, которые могут нанести вред их компьютеру. Auslogics BoostSpeed ​​помогает удалить все вредоносные файлы в реестре.

Кроме того, BoostSpeed ​​помогает повысить скорость и производительность вашего компьютера, изменяя неоптимальные системные настройки. Программное обеспечение изменяет настройки подключения к Интернету, чтобы обеспечить беспрепятственный просмотр, более быструю загрузку и лучшее качество аудио- и видеовызовов.

Напоследок

Если вы не можете просмотреть события запуска и завершения работы на своем компьютере с помощью методов, которыми мы с вами поделились, оставьте нам дополнительную информацию. Мы также будем рады, если вы оставите комментарий и поделитесь нашим постом в социальных сетях. Дополнительные советы по проблемам, связанным с Windows 10, можно найти в нашем блоге.

При устранении неполадок, вызывающих неожиданную перезагрузку или завершение работы компьютера с Windows, важно знать, какие идентификаторы событий связаны с перезагрузкой/выключением системы и как найти соответствующие журналы.

В этой заметке я публикую все идентификаторы событий, связанные с перезагрузками/выключениями.

Я также показываю, как отображать события выключения с указанием даты и времени с помощью средства просмотра событий Windows или из командной строки с помощью PowerShell.

Полезный совет: как загрузить Windows в безопасном режиме! Читать далее →

Идентификаторы событий отключения

Список идентификаторов событий Windows, связанных с выключением/перезагрузкой системы:

< tr> < /tr>
Идентификатор события Описание
41 Система перезагрузка без предварительного полного завершения работы.
1074 Система была правильно завершена пользователем или процессом.
1076 Следует за событием с идентификатором 6008 и означает, что первый пользователь с правами завершения работы вошел на сервер после неожиданного перезапуска или завершения работы и указал причину.
6005 Служба журнала событий запущена. Указывает на запуск системы.
6006 Служба журнала событий остановлена. Указывает на правильное завершение работы системы.
6008 Предыдущее завершение работы системы было неожиданным.
6009 Версия операционной системы, обнаруженная при запуске системы.
6013 Время безотказной работы системы в секундах.

Отображение журналов завершения работы в средстве просмотра событий

События выключения с датой и временем можно отобразить с помощью средства просмотра событий Windows.

Запустите средство просмотра событий и найдите события, связанные с выключением системы:

  1. Нажмите кнопку ⊞ Win, найдите eventvwr и запустите средство просмотра событий.
  2. Разверните Журналы Windows на левой панели и перейдите в раздел Система.
  3. Нажмите правой кнопкой мыши на "Система" и выберите "Фильтровать текущий журнал".
  4. Введите следующие идентификаторы в поле и нажмите OK :

Полезный совет: получите историю ранее выполненных команд в PowerShell! Читать далее →

Найти журналы завершения работы с помощью PowerShell

Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды PowerShell Get-EventLog.

Например, чтобы отфильтровать 10 000 последних записей в журнале системных событий и отобразить только события, связанные с выключением Windows, выполните:

Полезный совет. Запускайте и останавливайте службу в Windows из CMD и PowerShell! Читать далее →

Домашние пользователи Эта статья предназначена для использования агентами службы поддержки и ИТ-специалистами. Если вам нужна дополнительная информация о сообщениях об ошибках синего экрана, посетите страницу Устранение ошибок синего экрана.

Предпочтительный способ выключения Windows — нажать кнопку "Пуск", а затем выбрать вариант выключения или выключения компьютера. При использовании этого стандартного метода операционная система закрывает все файлы и уведомляет запущенные службы и приложения, чтобы они могли записать любые несохраненные данные на диск и очистить все активные кэши.

Если компьютер неожиданно выключается, Windows регистрирует событие с кодом 41 при следующем включении компьютера. Текст события выглядит следующим образом:

Идентификатор события: 41.
Описание: Система перезагрузилась без корректного завершения работы.

Это событие указывает на то, что некоторые непредвиденные действия помешали корректному завершению работы Windows. Такое отключение может быть вызвано перебоем в подаче питания или стоп-ошибкой. Если это возможно, Windows записывает все коды ошибок при завершении работы. На этапе ядра при следующем запуске Windows Windows проверяет наличие этих кодов и включает все существующие коды в данные события с идентификатором 41.

EventData
BugcheckCode 159
BugcheckParameter1 0x3
BugcheckParameter2 0xfffffa80029c5060
BugcheckParameter3 0xffffff8000403d518
BugcheckParameter4 0xfffffa800208c010
SleepInProgress false
SleepInProgress false
BugcheckParameter4 0xfffffa800208c010
SleepInProgress false
0x9f (0x3, 0xfffffa80029c5060, 0xffffff8000403d518, 0xfffffa800208c010)

Как использовать событие с идентификатором 41 при устранении неполадок при неожиданном завершении работы или перезапуске

Событие с идентификатором 41 само по себе может не содержать достаточной информации для явного определения того, что произошло. Как правило, необходимо также учитывать, что происходило во время неожиданного отключения (например, произошел сбой блока питания). Используйте информацию в этой статье, чтобы определить подход к устранению неполадок, подходящий для ваших обстоятельств:

    : компьютер перезагружается из-за стоп-ошибки, а событие с кодом 41 содержит код стоп-ошибки (проверка ошибки) : компьютер перезагружается, потому что вы нажали и удерживали кнопку питания : компьютер не отвечает или перезагружается случайным образом, а событие с кодом 41 не регистрируется, или в записи Event ID 41 перечислены нулевые коды ошибок.

Сценарий 1. Компьютер перезагружается из-за стоп-ошибки, а событие с идентификатором 41 содержит код стоп-ошибки (проверка ошибки)

Когда компьютер выключается или перезагружается из-за стоп-ошибки, Windows включает данные о стоп-ошибке в событие с идентификатором 41 как часть дополнительных данных события. Эта информация включает в себя код стоп-ошибки (также называемый кодом проверки ошибок), как показано в следующем примере:

EventData
BugcheckCode 159
BugcheckParameter1 0x3
BugcheckParameter2 0xfffffa80029c5060
BugcheckParameter3 0xffffff8000403d518
BugcheckParameter4 0xfffffa800208c010

Событие с идентификатором 41 содержит код проверки ошибок в десятичном формате. Большая часть документации, описывающей коды проверки ошибок, ссылается на коды как на шестнадцатеричные значения, а не на десятичные. Чтобы преобразовать десятичное число в шестнадцатеричное, выполните следующие действия:

  1. Нажмите "Пуск", введите calc в поле поиска и выберите "Калькулятор".
  2. В окне "Калькулятор" выберите "Вид" > "Программист".
  3. Убедитесь, что в левой части калькулятора выделено поле "Декабрь".
  4. Используйте клавиатуру, чтобы ввести десятичное значение кода проверки на наличие ошибок.
  5. В левой части калькулятора выберите Hex.
    Значение, отображаемое калькулятором, теперь представляет собой шестнадцатеричный код.

При преобразовании кода проверки ошибок в шестнадцатеричный формат убедитесь, что за обозначением «0x» следуют восемь цифр (то есть часть кода после «x» содержит достаточное количество нулей для заполнения восьми цифр). Например, 0x9F обычно документируется как 0x0000009f, а 0xA — как 0x0000000A. В примере данных события в этой статье «159» преобразуется в 0x0000009f.

После того, как вы определите шестнадцатеричное значение, используйте следующие ссылки для продолжения устранения неполадок:

    . . На этой странице перечислены ссылки на документацию по различным кодам проверки ошибок. .

Сценарий 2. Компьютер перезагружается, потому что вы нажали и удерживали кнопку питания

Поскольку этот метод перезагрузки компьютера мешает завершению работы Windows, мы рекомендуем использовать этот метод только в том случае, если у вас нет альтернативы. Например, вам может понадобиться использовать этот подход, если ваш компьютер не отвечает. Когда вы перезагружаете компьютер, нажимая и удерживая кнопку питания, компьютер регистрирует событие с кодом 41, которое включает ненулевое значение для записи PowerButtonTimestamp.

Для получения помощи при устранении неполадок с не отвечающим компьютером см. справку Windows. Рассмотрите возможность поиска помощи с помощью таких ключевых слов, как "зависание", "отвечает" или "пустой экран".

Сценарий 3. Компьютер не отвечает или перезагружается случайным образом, а событие с идентификатором 41 не записано, или запись события с идентификатором 41 содержит нулевое значение кода ошибки

Этот сценарий включает следующие обстоятельства:

  • Вы отключаете питание не отвечающего компьютера, а затем перезагружаете его.
    Чтобы убедиться, что компьютер не отвечает, нажмите клавишу CAPS LOCK на клавиатуре.Если индикатор CAPS LOCK на клавиатуре не меняется при нажатии клавиши CAPS LOCK, возможно, компьютер полностью не отвечает (это также называется жестким зависанием).
  • Компьютер перезагружается, но не создает событие с идентификатором 41.
  • Компьютер перезагружается и генерирует событие с идентификатором 41, но значения BugcheckCode и PowerButtonTimestamp равны нулю.

В таких случаях что-то мешает Windows генерировать коды ошибок или записывать коды ошибок на диск. Что-то может заблокировать доступ для записи на диск (как в случае зависшего компьютера) или компьютер может выключиться слишком быстро, чтобы записать коды ошибок или даже обнаружить ошибку.

Информация в событии с идентификатором 41 дает некоторое представление о том, с чего начать проверку на наличие проблем:

Событие с идентификатором 41 не записано или код проверки ошибки равен нулю. Такое поведение может указывать на проблему с питанием. Если питание компьютера прерывается, компьютер может выключиться без возникновения ошибки Stop. Если он генерирует ошибку Stop, он может не закончить запись кодов ошибок на диск. При следующем запуске компьютера он может не зарегистрировать событие с идентификатором 41. Или, если это произойдет, код проверки ошибки будет равен нулю. Причиной могут быть следующие условия:

  • В случае с портативным компьютером батарея была извлечена или полностью разряжена.
  • В случае настольного компьютера компьютер был отключен от сети или произошло отключение питания.
  • Блок питания недостаточно мощный или неисправен.

Значение PowerButtonTimestamp равно нулю. Это может произойти, если вы отключили питание компьютера, который не отвечает на ввод. Причиной могут быть следующие условия:

  • Процесс Windows заблокировал доступ для записи на диск, и вы выключили компьютер, нажав и удерживая кнопку питания не менее четырех секунд.
  • Вы отключили питание не отвечающего компьютера.

Обычно симптомы, описанные в этом сценарии, указывают на проблему с оборудованием. Чтобы локализовать проблему, выполните следующие действия:

  • Отключите разгон. Если на компьютере включен разгон, отключите его. Убедитесь, что проблема возникает, когда система работает с правильной скоростью.
  • Проверьте память. Используйте средство проверки памяти, чтобы определить работоспособность и конфигурацию памяти. Убедитесь, что все микросхемы памяти работают с одинаковой скоростью и что каждая микросхема правильно настроена в системе.
  • Проверьте источник питания. Убедитесь, что блок питания имеет достаточную мощность для правильной работы установленных устройств. Если вы добавили память, установили более новый процессор, установили дополнительные диски или добавили внешние устройства, такие устройства могут потреблять больше энергии, чем может постоянно обеспечивать текущий блок питания. Если компьютер зарегистрировал событие с идентификатором 41 из-за того, что питание компьютера было прервано, подумайте о приобретении источника бесперебойного питания (ИБП), например источника резервного питания от батареи.
  • Проверьте на перегрев. Проверьте внутреннюю температуру оборудования и проверьте, не перегреваются ли компоненты.

Если вы выполнили эти проверки и по-прежнему не можете локализовать проблему, установите для системы конфигурацию по умолчанию и проверьте, возникает ли проблема.

Если вы видите сообщение об ошибке Stop, содержащее код проверки ошибки, но код события 41 не включает этот код, измените поведение компьютера при перезагрузке. Для этого выполните следующие действия:

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений по окончанию поддержки Windows 2000 является отправной точкой для планирования стратегии перехода с Windows 2000. Дополнительную информацию см. Политика жизненного цикла поддержки.

Симптомы

При перезагрузке компьютера после того, как программа, использующая функцию InitiateSystemShutdownEx, автоматически отключила его, в журнале системных событий может быть зарегистрировано следующее событие:

Источник: журнал событий
Тип: ошибка
Описание:
Предыдущее завершение работы системы в Время
Дата было непредвиденным.

Причина

Эта проблема может возникнуть, если выполняются оба следующих условия:

Компьютер заблокирован или на нем установлена ​​заставка, защищенная паролем.

Операция выключения инициируется автоматически программой, использующей функцию InitiateSystemShutdownEx с флагом принудительного выполнения.

Например, вы используете средство удаленного выключения (Shutdown.exe) из набора ресурсов Microsoft Windows 2000 для принудительного выключения компьютера с удаленного компьютера или планируете выключение локального компьютера с помощью Shutdown.exe. в сочетании с командой at или планировщиком заданий.

В этой ситуации служба журнала событий не уведомляется о событии завершения работы, и в результате операция отключения ошибочно рассматривается службой журнала событий как неожиданное событие.

Разрешение

Информация об исправлении

Поддерживаемая функция, которая изменяет поведение продукта по умолчанию, доступна в Microsoft. Однако эта функция предназначена для изменения только поведения, описанного в этой статье. Применяйте эту функцию только к тем системам, которым она особенно необходима.

Если функция доступна для загрузки, в верхней части этой статьи базы знаний есть раздел «Исправление доступно для загрузки». Если этот раздел не отображается, обратитесь в службу поддержки клиентов Microsoft, чтобы получить эту функцию.

Примечание. Если возникают дополнительные проблемы или требуется их устранение, вам может потребоваться создать отдельный запрос на обслуживание. Обычные расходы на поддержку будут применяться к дополнительным вопросам поддержки и проблемам, которые не подходят для этой конкретной функции. Чтобы получить полный список номеров телефонов службы поддержки и обслуживания клиентов Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт Майкрософт:

Статус

Microsoft подтвердила, что это проблема продуктов Microsoft, перечисленных в разделе "Относится к".

Дополнительная информация

Для получения дополнительной информации о том, как использовать средство удаленного завершения работы (Shutdown.exe) для выключения, выключения и перезагрузки локального или удаленного компьютера под управлением Windows 2000, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт. :

317371 Как использовать средство удаленного завершения работы для выключения и перезагрузки компьютера в Windows 2000

Для получения дополнительных сведений об установке нескольких исправлений при однократном перезапуске щелкните следующий номер статьи базы знаний Майкрософт:

296861 Как установить несколько обновлений или исправлений для Windows всего за одну перезагрузку

Для получения дополнительной информации щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

883635 Может возникнуть аварийное завершение работы компьютера под управлением Windows 2000 Server после запуска экранной заставки при входе в Windows

Читайте также: