Udostępnij za pośrednictwem

Rozwiązywanie problemów z nieoczekiwanym ponownym rozruchem przy użyciu dzienników zdarzeń systemowych

Ten artykuł zawiera kompleksowy przewodnik rozwiązywania problemów z nieoczekiwanymi ponownymi rozruchami przy użyciu dzienników zdarzeń systemu. Pomaga określić przyczynę lub prowadzić do innych kroków rozwiązywania problemów w celu znalezienia głównej przyczyny.

Zazwyczaj istnieją dwa typy ponownych uruchomień, normalne ponowne uruchomienie i nieoczekiwane ponowne uruchomienie. Normalny ponowny rozruch występuje po zamknięciu lub ponownym uruchomieniu komputera przy użyciu opcji zamykania lub ponownego uruchamiania w systemie Windows. Nieoczekiwany ponowny rozruch występuje, gdy komputer działa normalnie, ale jest uruchamiany ponownie z powodu utraty zasilania, awarii sprzętu lub sprawdzania błędów.

Przejrzyj identyfikatory zdarzeń 12, 13, 6005 i 6009, aby uzyskać historię ponownego uruchamiania

Dzienniki zdarzeń systemu można filtrować, aby określić przyczynę nieoczekiwanego ponownego uruchomienia. Identyfikatory zdarzeń 12, 13, 6005 i 6009 mogą wyświetlać historię i częstotliwość ponownego uruchamiania komputera.

Uwaga 16.

Numery identyfikatorów zdarzeń mogą być skojarzone z różnymi źródłami, dlatego upewnij się, że filtrujesz odpowiednie numery pod kątem ponownych uruchomień.

Zrzut ekranu przedstawiający identyfikatory zdarzeń systemowych 12, 13, 6005 i 6009 w Podgląd zdarzeń.

Identyfikator zdarzenia Lokalizacja źródłowa opis
12 Kernel-General System operacyjny został uruchomiony w czasie systemowym <data/godzina>.
13 Kernel-General System operacyjny jest zamykany w czasie systemowym <data/godzina>.
6005 EventLog Usługa dziennika zdarzeń została uruchomiona.
6009 EventLog Wersja systemu operacyjnego Microsoft (R) Windows (R) <>

Przejrzyj identyfikatory zdarzeń 13, 41, 1074, 6008 i 6009, aby określić typy ponownych rozruchów

Identyfikatory zdarzeń 13, 41, 1074, 6008 i 6009 mogą pomóc w ustaleniu, czy ponowny rozruch jest normalny lub nieoczekiwany. Typowe identyfikatory zdarzeń, które wskazują normalny ponowny rozruch, to identyfikator zdarzenia 1074, a następnie identyfikator zdarzenia 13 i identyfikator zdarzenia 6009. Nieoczekiwany ponowny rozruch jest oznaczony identyfikatorem zdarzenia 41 i identyfikatorem zdarzenia 6008.

Uwaga 16.

Numery identyfikatorów zdarzeń mogą być skojarzone z różnymi źródłami, dlatego upewnij się, że filtrujesz odpowiednie numery pod kątem ponownych uruchomień.

Zrzut ekranu przedstawiający dzienniki zdarzeń systemu z filtrem 13, 41, 1074, 6008 i 6009 w Podgląd zdarzeń.

Identyfikator zdarzenia Lokalizacja źródłowa opis
13 Kernel-General System operacyjny jest zamykany w czasie systemowym <data/godzina>.
41 Zasilanie jądra System został ponownie uruchomiony bez wcześniejszego zamknięcia. Ten błąd może być spowodowany nieoczekiwanym wstrzymaniem odpowiedzi, awarią lub utratą zasilania przez system.
1074 User32 Nazwa procesu <zainicjowała ponowne uruchomienie nazwy komputera komputera> <w imieniu użytkownika domeny> użytkownika <z następującej przyczyny: Kod
>przyczyny przyczyny: <<Kod zamknięcia kodu>
szesnastkowego: Wpisz>
komentarz: <>
6008 EventLog Poprzednie zamknięcie systemu o godzinie> w <dniu <> było nieoczekiwane.
6009 EventLog Wersja systemu operacyjnego> Microsoft (R) Windows (R). <

Przejrzyj identyfikatory zdarzeń 19, 41, 1001, 1074 i 7045 pod kątem przyczyn ponownego uruchomienia

Identyfikatory zdarzeń 19, 41, 1001, 1074 i 7045 mogą wskazywać na przyczyny ponownego uruchomienia. Niektóre ponowne uruchomienia są spowodowane przez aktualizacje systemu operacyjnego, kontrole błędów i zainicjowane przez użytkownika zamknięcia lub ponowne uruchomienia. Inne ponowne rozruchy mogą być wymagane podczas instalacji oprogramowania lub procesów klienta zarządzania.

Identyfikator zdarzenia Lokalizacja źródłowa opis
19 WindowsUpdateClient Instalacja powiodła się: system Windows pomyślnie zainstalował następującą aktualizację: Aktualizacja zabezpieczeń dla systemu Windows (<numer> KB)
41 Zasilanie jądra System został ponownie uruchomiony bez wcześniejszego zamknięcia. Ten błąd może być spowodowany nieoczekiwanym wstrzymaniem odpowiedzi, awarią lub utratą zasilania przez system.
1001 WER-SystemErrorReporting Komputer został ponownie uruchomiony z poziomu usterki. Sprawdzanie błędów: 0xXXXXXXXXXX (0xX, 0xX, 0xX, 0xX, 0xX). Zrzut został zapisany w: C:\Windows\MEMORY. DMP. Identyfikator raportu: <identyfikator GUID>.
1074 User32 Nazwa procesu <zainicjowała ponowne uruchomienie nazwy komputera komputera> <w imieniu użytkownika domeny> użytkownika <z następującej przyczyny: Kod
>przyczyny przyczyny: <<Kod zamknięcia kodu>
szesnastkowego: Wpisz>
komentarz: <>
7045 Menedżer sterowania usługami Usługa została zainstalowana w systemie.
Nazwa usługi: <>
Nazwa pliku usługi: <Typ usługi lokalizacji ścieżki>
: <Typ rozpoczęcia usługi usługi
>: Typ uruchomienia usługi: <Typ>
konta usługi: konto <>

Łącząc wszystkie identyfikatory zdarzeń, można uzyskać historię ponownych rozruchów, zamykania i możliwych powodów ponownego uruchomienia komputera.

Zrzut ekranu przedstawiający dzienniki zdarzeń systemu z filtrem 19, 41, 1001, 1074 i 7045 w Podgląd zdarzeń.

Począwszy od normalnego scenariusza ponownego rozruchu, możesz spróbować ustalić, dlaczego ponowny rozruch został zaspokojony. Przyczyną może być aktualizacja zbiorcza, aktualizacja sterownika, aktualizacja aplikacji lub coś takiego jak zamknięcie. W każdym razie powinien istnieć identyfikator zdarzenia 1074 wskazujący, co zażądało ponownego uruchomienia i przyczyny.

Oto kilka przykładów różnych rodzajów żądań z identyfikatora zdarzenia 1074:

  • The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found  
Reason Code: 0x500ff  
Shutdown Type: power off  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned)  
Reason Code: 0x0  
Shutdown Type: restart  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned)  
Reason Code: 0x80020010  
Shutdown Type: restart  
Comment:

W przykładach proces, który żąda ponownego uruchomienia, znajduje się na liście, a następnie konto, które zainicjowało ponowny rozruch. Kod przyczyny i typ zamknięcia są również wymienione w opisie. W wielu przypadkach nazwa procesu pomaga określić, co potencjalnie wezwało do ponownego uruchomienia.

Kody przyczyn mogą być dodatkowo dekodowane. Aby uzyskać więcej informacji, zobacz:

Nieoczekiwane przykłady ponownego uruchamiania

W przypadku nieoczekiwanego ponownego uruchomienia zwykle nie ma wpisu dziennika o identyfikatorze zdarzenia 1074. Nieoczekiwane ponowne rozruchy są oznaczone identyfikatorami zdarzeń 41, 1001 i 6008. Oto przykład:

Zrzut ekranu przedstawiający dzienniki zdarzeń systemu z filtrem 41, 1001 i 6008 w Podgląd zdarzeń.

Identyfikator zdarzenia Lokalizacja źródłowa opis
1001 WER-SystemErrorReporting Komputer został ponownie uruchomiony z poziomu usterki. Sprawdzanie błędów: 0xXXXXXXXXXX (0xX, 0xX, 0xX, 0xX, 0xX). Zrzut został zapisany w: C:\Windows\MEMORY. DMP. Identyfikator raportu: <identyfikator GUID>.
41 Zasilanie jądra System został ponownie uruchomiony bez wcześniejszego zamknięcia. Ten błąd może być spowodowany nieoczekiwanym wstrzymaniem odpowiedzi, awarią lub utratą zasilania przez system.
6008 EventLog Poprzednie zamknięcie systemu o godzinie> w <dniu <> było nieoczekiwane.

W takim przypadku nieoczekiwany ponowny rozruch jest spowodowany sprawdzaniem błędów. Sprawdzanie błędów może być spowodowane niedawnym programowaniem. Możesz wyszukać wszystkie instalacje sterowników lub aktualizacje, instalacje aplikacji lub aktualizacje systemu operacyjnego.

Historię ponownych rozruchów systemu można sprawdzić, filtrując identyfikatory zdarzeń 12, 13, 19, 41, 1001, 1074, 6008, 6009 i 7045. Możesz użyć filtrowanej historii, aby zobaczyć, kiedy nastąpi pierwszy nieoczekiwany ponowny rozruch lub sprawdzenie błędów i czy jakiekolwiek nowe sterowniki lub aktualizacje zostaną zastosowane wkrótce przed wystąpieniem problemu.

Poniższa historia pokazuje, że istnieje aktualizacja sterownika, wyróżniona na czerwono, a sprawdzanie błędów rozpoczyna się wkrótce po.

Zrzut ekranu przedstawiający wyróżniony w Podgląd zdarzeń identyfikator zdarzenia systemu 7045.

Zobacz na przykład następujący identyfikator zdarzenia 7045:

A service was installed in the system.
 
Service Name:  Intel(R) Dynamic Application Loader Host Interface Service
Service File Name:  %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type:  user mode service
Service Start Type:  auto start
Service Account:  LocalSystem

Przykład może wskazywać, że sprawdzanie usterki jest spowodowane niedawną aktualizacją sterownika. Możesz usunąć lub wycofać aktualizację sterownika, aby sprawdzić, czy sprawdzanie usterek zostanie zatrzymane, czy nie. Jeśli nie, możesz zebrać zrzut pamięci na potrzeby analizy.