¿Cómo puedo ver fácilmente un historial de cada vez que mi Windows Server se ha reiniciado o apagado y la razón por la cual, incluido el inicio del usuario, el inicio del sistema y el bloqueo del sistema?
El Registro de eventos de Windows es una respuesta obvia, pero ¿cuál es la lista completa de eventos que debo ver?
Encontré estas publicaciones que responden parcialmente mi pregunta:
- El último tiempo de reinicio del servidor de Windows incluye varias respuestas que abordan parcialmente el historial de reinicio completo
- Ver los registros del Rastreador de eventos de apagado en Windows Server 2008 R2 incluye una identificación de evento adicional
- Tiempo de registro de eventos cuando el inicio / inicio de la computadora incluye algunos de los mismos identificadores de eventos
pero esos no cubren todos los escenarios AFAIK y la información es difícil de entender porque se extiende a través de múltiples respuestas.
Tengo varias versiones de Windows Server, por lo que una solución que funcione al menos para las versiones 2008, 2008 R2, 2012 y 2012 R2 sería ideal.
Respuestas:
La respuesta más clara y sucinta que pude encontrar es:
que enumera estos identificadores de eventos para monitorear (citado pero editado y reformateado del artículo):
Agregue a eso un par más de las respuestas de Falla del servidor que figuran en mi OP:
¿Extrañé alguna?
fuente
Kernel-General
con eventid12
, que generalmente es el primer eventid que se registra después de un reinicio / reinicio, etc. y muestra la "hora de inicio del sistema" real, es decir: "El sistema operativo se inició a la hora del sistema 2017 - 09 - 19T02: 46: 06.582794900Z ".Simplemente dejaría esto como un comentario, ya que JohnC básicamente ha cubierto todo, pero todavía no tengo permitido hacerlo.
Los eventos que describió se han utilizado durante bastante tiempo, por lo que funcionarán para cualquiera de los sistemas operativos que mencionó, así como para sus hermanos de escritorio. Las páginas de ID de evento a las que se vinculó, como la del 6006 en TechNet, mencionan Windows Server 2003.
Si hubo un apagado elegante, iniciado por el usuario o no, también debería ver algún Id. De evento 7036 que le indica que varios servicios "entraron en estado detenido". A medida que la máquina se inicia nuevamente, verá más 7036 anunciando que los servicios están entrando en estado de ejecución.
fuente
Basándose en la respuesta de @JohnC y extendiéndola
Puede usar un filtro XML como:
Puede reemplazar 172800000 con los siguientes valores para el rango de tiempo:
86400000 - Últimas 24 horas
172800000 - Últimos 2 días
604800000 - Últimos 7 días
Esto mostrará muchos más detalles desde el momento en que el servidor / PC se desconectó. Incluye los eventos Kernel-Power, User32 y EventLog.
fuente
Prefiero realizar actividades desde la línea de comando. Aquí está el comienzo de un fragmento que puede aprovechar. Esto muestra los 30,000 registros más recientes del sistema y devuelve los reinicios dentro de esos registros.
fuente