Compartir a través de

Solución de problemas de reinicios inesperados mediante registros de eventos del sistema

En este artículo se proporciona una guía completa sobre cómo solucionar problemas de reinicios inesperados mediante registros de eventos del sistema. Ayuda a determinar la causa o conducir a otros pasos de solución de problemas para encontrar la causa principal.

Por lo general, hay dos tipos de reinicios, reinicios normales y reinicios inesperados. Se produce un reinicio normal cuando un equipo se apaga o se reinicia mediante la opción de apagado o reinicio en Windows. Se produce un reinicio inesperado cuando un equipo se ejecuta normalmente, pero se reinicia debido a la pérdida de energía, errores de hardware o comprobaciones de errores.

Revise los identificadores de evento 12, 13, 6005 y 6009 para el historial de reinicio.

Puede filtrar los registros de eventos del sistema para determinar la causa de un reinicio inesperado. Los identificadores de evento 12, 13, 6005 y 6009 pueden mostrar el historial de reinicio y la frecuencia de un equipo.

Nota:

Los números de identificador de evento pueden estar asociados a orígenes diferentes, por lo que debe asegurarse de filtrar por los correspondientes para los reinicios.

Captura de pantalla que muestra los identificadores de eventos del sistema 12, 13, 6005 y 6009 en Visor de eventos.

Identificador del evento Source Description
12 Kernel-General El sistema operativo se inició en la fecha y hora <>del sistema.
13 Kernel-General El sistema operativo se apaga en la hora del sistema fecha y hora<>.
6005 EventLog Se inició el servicio de registro de eventos.
6009 EventLog Versión del sistema operativo Windows (R) de Microsoft (R) <>

Revise los identificadores de evento 13, 41, 1074, 6008 y 6009 para determinar los tipos de reinicio.

Los identificadores de evento 13, 41, 1074, 6008 y 6009 pueden ayudar a determinar si un reinicio es normal o inesperado. Los identificadores de evento típicos que indican un reinicio normal son el identificador de evento 1074 seguido del identificador de evento 13 y el identificador de evento 6009. Un reinicio inesperado se indica mediante el identificador de evento 41 y el identificador de evento 6008.

Nota:

Los números de identificador de evento pueden estar asociados con orígenes diferentes, por lo que debe asegurarse de filtrar por los correspondientes para los reinicios.

Captura de pantalla que muestra los registros de eventos del sistema con 13, 41, 1074, 6008 y 6009 filtrados en Visor de eventos.

Identificador del evento Source Description
13 Kernel-General El sistema operativo se apaga en la hora del sistema fecha y hora<>.
41 Kernel-Power El sistema se ha reiniciado sin apagar primero. Este error podría deberse a que el sistema dejó de responder, se bloqueó o perdió energía inesperadamente.
1074 User32 El proceso Nombre del proceso <ha iniciado el reinicio del nombre> de equipo <en nombre del usuario de> dominio de usuario <por el siguiente motivo: <Código
>de motivo: <Tipo de apagado de código
>hexadecimal: Escriba
>comentario: <>
6008 EventLog El cierre del sistema anterior en <el momento> en <la fecha> era inesperado.
6009 EventLog Versión del sistema operativo> Windows (R) de Microsoft (R). <

Revise los identificadores de evento 19, 41, 1001, 1074 y 7045 para las causas del reinicio.

Los identificadores de evento 19, 41, 1001, 1074 y 7045 podrían indicar causas de reinicio. Algunos reinicios se deben a actualizaciones del sistema operativo, comprobaciones de errores y apagados o reinicios iniciados por el usuario. Es posible que se requieran otros reinicios durante los procesos de instalación o administración de software.

Identificador del evento Source Description
19 WindowsUpdateClient Instalación correcta: Windows instaló correctamente la siguiente actualización: Actualización de seguridad para Windows (<número> de KB)
41 Kernel-Power El sistema se ha reiniciado sin apagar primero. Este error podría deberse a que el sistema dejó de responder, se bloqueó o perdió energía inesperadamente.
1001 WER-SystemErrorReporting El equipo se ha reiniciado desde una comprobación de errores. La comprobación de errores fue: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Se guardó un volcado en: C:\Windows\MEMORY. DMP. Id. de informe: <GUID>.
1074 User32 El proceso Nombre del proceso <ha iniciado el reinicio del nombre> de equipo <en nombre del usuario de> dominio de usuario <por el siguiente motivo: <Código
>de motivo: <Tipo de apagado de código
>hexadecimal: Escriba
>comentario: <>
7045 Administrador de control de servicios Se instaló un servicio en el sistema.
Nombre del servicio: <Nombre>
del archivo de servicio: <Ruta de acceso>
Tipo de servicio: <Tipo
>de inicio del servicio Tipo de servicio: <Tipo>
de servicio: Cuenta <de servicio>

Al combinar todos los identificadores de evento, puede obtener un historial de reinicios, apagados y posibles motivos por los que se reinicia el equipo.

Captura de pantalla que muestra los registros de eventos del sistema con 19, 41, 1001, 1074 y 7045 filtrados en Visor de eventos.

A partir del escenario de reinicio normal, puede intentar determinar por qué se iniató un reinicio. Puede deberse a una actualización acumulativa, actualización de controladores, actualización de aplicaciones o algo parecido a un apagado. En cualquier caso, debe haber un id. de evento 1074 que indique lo que solicitó el reinicio y un motivo.

Estos son algunos ejemplos de diferentes tipos de solicitudes del identificador de evento 1074:

  • The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found  
Reason Code: 0x500ff  
Shutdown Type: power off  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned)  
Reason Code: 0x0  
Shutdown Type: restart  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned)  
Reason Code: 0x80020010  
Shutdown Type: restart  
Comment:

En los ejemplos, el proceso que solicita el reinicio aparece seguido de la cuenta que inició el reinicio. En la descripción también se muestran un código de motivo y un tipo de apagado. En muchos casos, el nombre del proceso ayuda a determinar lo que se podría llamar para el reinicio.

Los códigos de motivo se pueden descodificar aún más. Para más información, vea:

Ejemplos de reinicio inesperado

Con un reinicio inesperado, normalmente no hay una entrada de registro de id. de evento 1074. Los reinicios inesperados se indican mediante identificadores de evento 41, 1001 y 6008. Este es un ejemplo:

Captura de pantalla que muestra los registros de eventos del sistema con 41, 1001 y 6008 filtrados en Visor de eventos.

Identificador del evento Source Description
1001 WER-SystemErrorReporting El equipo se ha reiniciado desde una comprobación de errores. La comprobación de errores fue: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Se guardó un volcado en: C:\Windows\MEMORY. DMP. Id. de informe: <GUID>.
41 Kernel-Power El sistema se ha reiniciado sin apagar primero. Este error podría deberse a que el sistema dejó de responder, se bloqueó o perdió energía inesperadamente.
6008 EventLog El cierre del sistema anterior en <el momento> en <la fecha> era inesperado.

En este caso, el reinicio inesperado se debe a una comprobación de errores. La comprobación de errores puede deberse a un desarrollo reciente. Puede buscar cualquier instalación o actualización de controladores, instalaciones de aplicaciones o actualizaciones del sistema operativo.

Puede comprobar el historial de reinicios del sistema filtrando identificadores de evento 12, 13, 19, 41, 1001, 1074, 6008, 6009 y 7045. Puede usar el historial filtrado para ver cuándo se produce el primer reinicio inesperado o la comprobación de errores y si se aplican controladores o actualizaciones nuevos poco antes de que se produzca el problema.

El siguiente historial muestra que hay una actualización del controlador, resaltada en rojo y la comprobación de errores se inicia poco después.

Captura de pantalla que muestra el identificador de evento del sistema 7045 resaltado en Visor de eventos.

Consulte el siguiente identificador de evento 7045 para obtener un ejemplo:

A service was installed in the system.
 
Service Name:  Intel(R) Dynamic Application Loader Host Interface Service
Service File Name:  %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type:  user mode service
Service Start Type:  auto start
Service Account:  LocalSystem

El ejemplo podría indicar que la comprobación de errores se debe a una actualización reciente del controlador. Puede quitar o revertir la actualización del controlador para ver si la comprobación de errores se detiene o no. Si no es así, puede recopilar un volcado de memoria para su análisis.