查看Windows Server 2008 R2下的Shutdown Event Tracker日志

我正在尝试在Windows Server 2008 R8上的事件查看器中查看“关闭事件跟踪器”日志，但是找不到以前重新启动服务器时提供的消息。

我可以在事件查看器的哪里看到这些日志？

打开事件查看器。展开Windows日志。单击系统，然后查找或过滤事件ID1074。然后，您将看到所有关闭的日志。

我知道这是一个非常老的问题。但这可能会对正在寻找相同解决方案的人有所帮助。您可以在powershell中使用单行（在win 2003之后的所有操作系统中都可用）来查找重新启动历史记录。只需从运行提示符打开powershell.exe，然后输入以下命令。

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

如果您或其他人只是想查找最新的引导时间，我发现的最简单的方法是在cmd中运行它：

systeminfo | find "System Boot Time"

从powercram.com

由于我们经常监视ISP托管的服务器是否发生中断，因此我发现的另一种有用的方法是创建自定义事件视图，如下所示：

然后打开事件查看器

• 右键单击自定义视图
• 单击创建自定义视图
• 在过滤器标签下
  • 随时保持记录
  • 选择所有事件级别类型（严重，警告等）
  • 按来源选择= Windows日志>系统
  • 对于“包含/排除事件ID”部分下的事件ID，请为事件ID输入1074
• 点击确定
• 输入名称，例如“关机事件”和任何描述，然后
• 再次单击确定以完成自定义事件日志。

新的自定义视图应显示在已应用正确过滤器的自定义视图列表中。

我用来过滤掉关机相关EventID的干净一点的Powershell一线：

Get-EventLog system |?{$_.EventID -in 6008,41,1074,1001}| ft -w

要将其限制为最有用的属性：

Get-EventLog system | ?{6008,41,1074,1076,1001 -eq $_.EventID}| select EventID, TimeGenerated, Message| ft -w

或者，按消息文本搜索：

Get-EventLog system -m "*Shutdown*" | select EventID, TimeGenerated, Message| ft -w

The Windows Logs在“ The Event Viewer应用程序”中展开，然后选择System。然后在中The System Panel，通常出现在中间，按级别或ID对其进行排序。

单击每个条目上的以查看底部面板中的描述