Перезапуск Windows Server / завершает работу истории
Я продумываю работы на 1 Мбит/с приблизительно к 2.5 ТБ в месяц. Но необходимо быть осторожными, как это тарифицировано, b/c, взимаемый за ОБЩИЕ переданные данные, очень отличается от 95-й тарификации процентили.
До усилителей я проверил бы спецификации аппаратных средств, которые Вы планируете на использовании.
Самый ясный ответ, который я смог найти:
, в которой перечислены идентификаторы событий для мониторинга (процитированные, но отредактированные и переформатированные из статьи):
- ID события 6005 (альтернативный): "Была запущена служба журнала событий". Это синоним запуска системы.
- ID события 6006 (альтернативный): "Служба регистрации событий была остановлена". Это синоним выключения системы.
- ID события 6008 (альтернативный): "Предыдущее выключение системы было неожиданным." Записывает, что система запускалась после некорректного выключения.
- ID события 6009 (alternate): Указывает имя продукта Windows, версию, номер сборки, номер пакета обновления и тип операционной системы, обнаруженный во время загрузки.
- Event ID 6013: Отображает время работы компьютера. Для этого идентификатора нет страницы TechNet
Добавьте к этому еще пару из ответов Server Fault, перечисленных в моем идентификаторе события OP:
- Event ID 1074 (alternate): "Процесс X инициировал перезагрузку/остановку компьютера от имени пользователя Y по следующей причине: Z." Указывает, что приложение или пользователь инициировали перезапуск или выключение.
- Event ID 1076 (alternate): "Причина, указанная пользователем X для последнего непредвиденного выключения этого компьютера: Y". Записывает, когда первый пользователь с привилегиями выключения входит в систему после неожиданного перезапуска или выключения и сообщает причину этого события.
Пропустил ли я что-нибудь?
.Построение @JohnC ответ с и расширение его
Вы могли использовать фильтр XML как:
<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) <= 172800000]]]</Select>
</Query>
</QueryList>
можно заменить 172800000 ниже значений для диапазона времени:
86400000 - Длятся, 24 часа
172800000 - Длятся, 2 Дня
604800000 - Длятся 7 Дней
, Это покажет намного больше детали со времени, когда сервер/ПК пошел офлайн, Это включает Питание Ядра, события User32 и EventLog.
Я бы просто оставил это в качестве комментария, так как JohnC в основном освещал все, но мне пока не разрешено это делать.
Описанные им события используются уже довольно давно, так что они будут работать для любой из упомянутых вами ОС, а также для их собратьев по рабочему столу. На страницах ID событий, на которые он ссылался, например, на странице 6006 на TechNet, упоминается Windows Server 2003.
Если было элегантное выключение, инициированный пользователем или другое, вы также должны увидеть некоторый ID события 7036, говорящий вам, что различные службы "вошли в состояние остановки". При повторном запуске машины вы увидите еще 7036s, сообщающие о том, что службы "вошли в рабочее состояние".
.Я предпочитаю выполнять действия из командной строки. Вот начало фрагмента, который вы можете использовать. Это показывает последние 30 000 системных записей и возвращает перезагрузки в этих записях.
Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}
Превращение комментария @user10082 в отвечать. Предлагаемое решение является однострочным, как скрипт Powershell:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize –wrap
Вот результат:
TimeGenerated EventID Message
------------- ------- -------
5/30/2021 11:23:16 AM 6005 The Event log service was started.
5/30/2021 11:23:16 AM 6009 Microsoft (R) Windows (R) 10.00. 19042 Multiprocessor Free.
5/30/2021 11:23:16 AM 6008 The previous system shutdown at 18:35:45 on 24/05/2021 was unexpected.
5/24/2021 11:55:45 AM 6005 The Event log service was started.
5/24/2021 11:55:45 AM 6009 Microsoft (R) Windows (R) 10.00. 19042 Multiprocessor Free.
5/24/2021 11:55:31 AM 6006 The Event log service was stopped.
5/24/2021 11:55:27 AM 1074 The process C:\Windows\system32\SystemSettingsAdminFlows.exe (DESKTOP) has
initiated the restart of computer DESKTOP on behalf of user DESKTOP\User
for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: restart
Comment:
Короткий и сжатый один лайнер, чтобы получить время перезагрузки и запуска за последние 8 часов с удаленной машины, используя SysInternals psloglist и идентификатор события сверху:
psloglist \\computername -h 8 -i 41,1074,1076,6005,6006,6008,6013
Единственное, чего не хватает (для меня), это идентификатор события. для эквивалента «диалога входа в систему, готового для пользователя». Кажется, это трудно найти (Что я могу запросить, чтобы увидеть, загружена ли Windows и установлены ли обновления?)