Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält ein umfassendes Handbuch zur Problembehandlung bei unerwarteten Neustarts mithilfe von Systemereignisprotokollen. Sie hilft dabei, die Ursache zu ermitteln oder zu anderen Problembehandlungsschritten zu führen, um die Ursache zu finden.
Es gibt in der Regel zwei Arten von Neustarts, normale Neustarts und unerwartete Neustarts. Ein normaler Neustart tritt auf, wenn ein Computer mithilfe der Option "Herunterfahren" oder "Neustart" in Windows heruntergefahren oder neu gestartet wird. Ein unerwarteter Neustart tritt auf, wenn ein Computer normal ausgeführt wird, aber aufgrund von Stromausfall, Hardwarefehlern oder Fehlerüberprüfungen neu gestartet wird.
Überprüfen der Ereignis-IDs 12, 13, 6005 und 6009 für den Neustartverlauf
Sie können die Systemereignisprotokolle filtern, um die Ursache eines unerwarteten Neustarts zu ermitteln. Ereignis-IDs 12, 13, 6005 und 6009 können den Neustartverlauf und die Häufigkeit eines Computers anzeigen.
Notiz
Ereignis-ID-Nummern können verschiedenen Quellen zugeordnet werden. Stellen Sie daher sicher, dass Sie nach den relevanten Nummern für Neustarts filtern.
| Ereignis-ID | `Source` | Beschreibung |
|---|---|---|
| 12 | Kernel-General | Das Betriebssystem wurde zu Systemzeitdatum <>gestartet. |
| 13 | Kernel-General | Das Betriebssystem wird zum Zeitpunkt des> Systemdatums <heruntergefahren. |
| 6005 | EventLog | Der Ereignisprotokolldienst wurde gestartet. |
| 6009 | EventLog | Microsoft (R) Windows (R) <Betriebssystemversion> |
Überprüfen von Ereignis-IDs 13, 41, 1074, 6008 und 6009 zum Ermitteln von Neustarttypen
Ereignis-IDs 13, 41, 1074, 6008 und 6009 können helfen, festzustellen, ob ein Neustart normal oder unerwartet ist. Die typischen Ereignis-IDs, die einen normalen Neustart angeben, sind Ereignis-ID 1074 gefolgt von Ereignis-ID 13 und Ereignis-ID 6009. Ein unerwarteter Neustart wird durch die Ereignis-ID 41 und die Ereignis-ID 6008 gekennzeichnet.
Notiz
Ereignis-ID-Nummern können mit unterschiedlichen Quellen verknüpft werden. Stellen Sie daher sicher, dass Sie nach den relevanten Nummern für Neustarts filtern.
| Ereignis-ID | `Source` | Beschreibung |
|---|---|---|
| 13 | Kernel-General | Das Betriebssystem wird zum Zeitpunkt des> Systemdatums <heruntergefahren. |
| 41 | Kernel-Power | Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren. Dieser Fehler kann verursacht werden, wenn das System nicht mehr reagiert, abgestürzt oder unerwartet Energie verloren hat. |
| 1074 | User32 | Der Prozessprozessname hat den Neustart des Computercomputernamens> <im Namen des Benutzerdomänenbenutzers <> aus folgendem Grund initiiert: <Reason Reason> Code: <Hex Code >Shutdown Type: <Type> Comment:<> |
| 6008 | EventLog | Das vorherige System heruntergefahren am <Datum <>> war unerwartet. |
| 6009 | EventLog | Microsoft (R) Windows (R) <Betriebssystemversion>. |
Überprüfen von Ereignis-IDs 19, 41, 1001, 1074 und 7045 für die Ursachen des Neustarts
Ereignis-IDs 19, 41, 1001, 1074 und 7045 deuten möglicherweise auf Neustartursachen hin. Einige Neustarts werden durch Betriebssystemupdates, Fehlerüberprüfungen und vom Benutzer initiierte Herunterfahren oder Neustarts verursacht. Andere Neustarts sind möglicherweise bei Softwareinstallations- oder Verwaltungsclientprozessen erforderlich.
| Ereignis-ID | `Source` | Beschreibung |
|---|---|---|
| 19 | WindowsUpdateClient | Installation erfolgreich: Windows hat das folgende Update erfolgreich installiert: Sicherheitsupdate für Windows (<KB-Nummer>) |
| 41 | Kernel-Power | Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren. Dieser Fehler kann verursacht werden, wenn das System nicht mehr reagiert, abgestürzt oder unerwartet Energie verloren hat. |
| 1001 | WER-SystemErrorReporting | Der Computer wurde von einer Fehlerüberprüfung neu gestartet. Die Fehlerprüfung lautete: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Ein Speicherabbild wurde in: C:\Windows\MEMORY gespeichert. DMP. Berichts-ID: <GUID>. |
| 1074 | User32 | Der Prozessprozessname hat den Neustart des Computercomputernamens> <im Namen des Benutzerdomänenbenutzers <> aus folgendem Grund initiiert: <Reason Reason> Code: <Hex Code >Shutdown Type: <Type> Comment:<> |
| 7045 | Dienststeuerungs-Manager | Ein Dienst wurde im System installiert. Dienstname: Name>Service File Name: <Pfad Location> Service Type: <Typ Service> Start Type: <Start Type >Service Account: <Account <> |
Durch die Kombination aller Ereignis-IDs können Sie einen Verlauf von Neustarts, Herunterfahren und möglichen Gründen erhalten, warum der Computer neu gestartet wurde.
Ab dem normalen Neustartszenario können Sie ermitteln, warum ein Neustart iniziert wurde. Dies kann auf ein kumulatives Update, Treiberupdate, Anwendungsupdate oder etwas wie ein Herunterfahren zurückzuführen sein. In jedem Fall sollte eine Ereignis-ID 1074 vorhanden sein, die angibt, was den Neustart angefordert hat, und einen Grund.
Hier sind einige Beispiele für verschiedene Arten von Anforderungen aus der Ereignis-ID 1074:
-
The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found Reason Code: 0x500ff Shutdown Type: power off Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned) Reason Code: 0x0 Shutdown Type: restart Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned) Reason Code: 0x80020010 Shutdown Type: restart Comment:
In den Beispielen wird der Prozess aufgeführt, der den Neustart anfordert, gefolgt von dem Konto, das den Neustart initiiert hat. Ein Grundcode und ein Herunterfahren-Typ werden auch in der Beschreibung aufgeführt. In vielen Fällen hilft der Prozessname zu bestimmen, was potenziell für den Neustart erforderlich ist.
Grundcodes können weiter decodiert werden. Weitere Informationen finden Sie unter:
Beispiele für unerwartete Neustarts
Bei einem unerwarteten Neustart gibt es in der Regel keinen Protokolleintrag der Ereignis-ID 1074. Unerwartete Neustarts werden durch Ereignis-IDs 41, 1001 und 6008 gekennzeichnet. Hier sehen Sie ein Beispiel:
| Ereignis-ID | `Source` | Beschreibung |
|---|---|---|
| 1001 | WER-SystemErrorReporting | Der Computer wurde von einer Fehlerüberprüfung neu gestartet. Die Fehlerprüfung lautete: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Ein Speicherabbild wurde in: C:\Windows\MEMORY gespeichert. DMP. Berichts-ID: <GUID>. |
| 41 | Kernel-Power | Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren. Dieser Fehler kann verursacht werden, wenn das System nicht mehr reagiert, abgestürzt oder unerwartet Energie verloren hat. |
| 6008 | EventLog | Das vorherige System heruntergefahren am <Datum <>> war unerwartet. |
In diesem Fall wird der unerwartete Neustart durch eine Fehlerüberprüfung verursacht. Die Fehlerüberprüfung kann durch eine kürzlich vorgenommene Entwicklung verursacht werden. Sie können nach Treiberinstallationen oder -updates, Anwendungsinstallationen oder Betriebssystemupdates suchen.
Sie können den Systemneustartverlauf überprüfen, indem Sie Ereignis-IDs 12, 13, 19, 41, 1001, 1074, 6008, 6009 und 7045 filtern. Sie können den gefilterten Verlauf verwenden, um festzustellen, wann der erste unerwartete Neustart oder die Fehlerüberprüfung stattfindet und ob neue Treiber oder Updates kurz vor dem Auftreten des Problems angewendet werden.
Der folgende Verlauf zeigt, dass ein Treiberupdate rot hervorgehoben ist und die Fehlerüberprüfung kurz danach gestartet wird.
Ein Beispiel finden Sie in der folgenden Ereignis-ID 7045:
A service was installed in the system.
Service Name: Intel(R) Dynamic Application Loader Host Interface Service
Service File Name: %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem
Das Beispiel kann darauf hinweisen, dass die Fehlerüberprüfung auf ein aktuelles Treiberupdate zurückzuführen ist. Sie können das Treiberupdate entfernen oder zurücksetzen, um festzustellen, ob die Fehlerüberprüfung beendet wird oder nicht. Wenn nicht, können Sie ein Speicherabbild für die Analyse sammeln.