Compartilhar via

Solucionar problemas de reinicializações inesperadas usando logs de eventos do sistema

Este artigo fornece um guia completo sobre como solucionar problemas de reinicializações inesperadas usando logs de eventos do sistema. Ele ajuda a determinar a causa ou leva a outras etapas de solução de problemas para encontrar a causa raiz.

Geralmente, existem dois tipos de reinicializações, reinicializações normais e reinicializações inesperadas. Uma reinicialização normal ocorre quando um computador é desligado ou reiniciado usando a opção de desligamento ou reinicialização no Windows. Uma reinicialização inesperada ocorre quando um computador está funcionando normalmente, mas é reinicializado devido a perda de energia, falhas de hardware ou verificações de bugs.

Revise as IDs de evento 12, 13, 6005 e 6009 para obter o histórico de reinicialização

Você pode filtrar os logs de eventos do sistema para determinar a causa de uma reinicialização inesperada. As IDs de evento 12, 13, 6005 e 6009 podem mostrar o histórico de reinicialização e a frequência de um computador.

Observação

Os números de ID de evento podem estar associados a fontes diferentes, portanto, certifique-se de filtrar as fontes relevantes para reinicializações.

Captura de tela que mostra as IDs de evento do sistema 12, 13, 6005 e 6009 no Visualizador de eventos.

ID do evento Fonte Descrição
12 Kernel-General O sistema operacional foi iniciado na hora <do sistema, Data e Hora>.
13 Kernel-General O sistema operacional está sendo desligado na hora <do sistema, Data e Hora>.
6005 EventLog O serviço de log de eventos foi iniciado.
6009 EventLog Versão do sistema operacional Microsoft (R) Windows (R) <>

Revise as IDs de evento 13, 41, 1074, 6008 e 6009 para determinar os tipos de reinicialização

As IDs de evento 13, 41, 1074, 6008 e 6009 podem ajudar a determinar se uma reinicialização é normal ou inesperada. As IDs de evento típicas que indicam uma reinicialização normal são a ID do Evento 1074, seguida pela ID do Evento 13 e pela ID do Evento 6009. Uma reinicialização inesperada é indicada pela ID de Evento 41 e pela ID de Evento 6008.

Observação

Os números de ID de evento podem ser associados a fontes diferentes, portanto, certifique-se de filtrar os relevantes para reinicializações.

Captura de tela que mostra os logs de eventos do sistema com 13, 41, 1074, 6008 e 6009 filtrados no Visualizador de eventos.

ID do evento Fonte Descrição
13 Kernel-General O sistema operacional está sendo desligado na hora <do sistema, Data e Hora>.
41 Poder do kernel O sistema foi reinicializado sem desligar corretamente primeiro. Esse erro pode ser causado se o sistema parar de responder, travar ou perder energia inesperadamente.
1074 User32 O processo <Nome do processo iniciou a reinicialização do computador <Nome> do computador em nome do usuário <Usuário do domínio> pelo seguinte motivo: <Motivo
>Código do motivo: <Código>
hexadecimal Tipo de desligamento: <Tipo>
Comentário:>
6008 EventLog O desligamento anterior do sistema na <> data> de início <foi inesperado.
6009 EventLog Versão> do sistema operacional Microsoft (R) Windows (R). <

Revise as IDs de evento 19, 41, 1001, 1074 e 7045 para as causas da reinicialização

As IDs de evento 19, 41, 1001, 1074 e 7045 podem indicar causas de reinicialização. Algumas reinicializações são causadas por atualizações do sistema operacional, verificações de bugs e desligamentos ou reinicializações iniciados pelo usuário. Outras reinicializações podem ser necessárias durante a instalação do software ou os processos do cliente de gerenciamento.

ID do evento Fonte Descrição
19 WindowsUpdateClient Instalação bem-sucedida: o Windows instalou com êxito a seguinte atualização: Atualização de segurança para Windows (<número> KB)
41 Poder do kernel O sistema foi reinicializado sem desligar corretamente primeiro. Esse erro pode ser causado se o sistema parar de responder, travar ou perder energia inesperadamente.
1001 WER-SystemErrorReporting O computador foi reinicializado a partir de uma verificação de bugs. A verificação de bugs foi: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Um despejo foi salvo em: C:\Windows\MEMORY. DMP. ID do relatório: <GUID>.
1074 User32 O processo <Nome do processo iniciou a reinicialização do computador <Nome> do computador em nome do usuário <Usuário do domínio> pelo seguinte motivo: <Motivo
>Código do motivo: <Código>
hexadecimal Tipo de desligamento: <Tipo>
Comentário:>
7045 Gerenciador de Controle de Serviço Um serviço foi instalado no sistema.
Nome do Serviço: <Nome
Nome do Arquivo do Serviço: <Caminho Localização Tipo
>de Serviço: <Tipo de Serviço>
Tipo de Início: <Tipo>
de Início Conta de Serviço: <Conta>>

Ao combinar todas as IDs de evento, você pode obter um histórico de reinicializações, desligamentos e possíveis motivos pelos quais o computador foi reinicializado.

Captura de tela que mostra os logs de eventos do sistema com 19, 41, 1001, 1074 e 7045 filtrados no Visualizador de eventos.

Começando com o cenário de reinicialização normal, você pode tentar determinar por que uma reinicialização foi iniciada. Pode ser devido a uma atualização cumulativa, atualização de driver, atualização de aplicativo ou algo como um desligamento. Em qualquer caso, deve haver uma ID de evento 1074 indicando o que solicitou a reinicialização e um motivo.

Aqui estão alguns exemplos de diferentes tipos de solicitações da ID do Evento 1074:

  • The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found  
Reason Code: 0x500ff  
Shutdown Type: power off  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned)  
Reason Code: 0x0  
Shutdown Type: restart  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned)  
Reason Code: 0x80020010  
Shutdown Type: restart  
Comment:

Nos exemplos, o processo que solicita a reinicialização é listado seguido pela conta que iniciou a reinicialização. Um código de motivo e um tipo de desligamento também estão listados na descrição. Em muitos casos, o nome do processo ajuda a determinar o que potencialmente chamou para a reinicialização.

Os códigos de razão podem ser decodificados posteriormente. Para saber mais, veja:

Exemplos de reinicialização inesperada

Com uma reinicialização inesperada, geralmente não há uma entrada de log da ID do Evento 1074. Reinicializações inesperadas são indicadas pelas IDs de evento 41, 1001 e 6008. Veja um exemplo:

Captura de tela que mostra os logs de eventos do sistema com 41, 1001 e 6008 filtrados no Visualizador de eventos.

ID do evento Fonte Descrição
1001 WER-SystemErrorReporting O computador foi reinicializado a partir de uma verificação de bugs. A verificação de bugs foi: 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Um despejo foi salvo em: C:\Windows\MEMORY. DMP. ID do relatório: <GUID>.
41 Poder do kernel O sistema foi reinicializado sem desligar corretamente primeiro. Esse erro pode ser causado se o sistema parar de responder, travar ou perder energia inesperadamente.
6008 EventLog O desligamento anterior do sistema na <> data> de início <foi inesperado.

Nesse caso, a reinicialização inesperada é causada por uma verificação de bug. A verificação de bugs pode ser causada por um desenvolvimento recente. Você pode procurar instalações ou atualizações de driver, instalações de aplicativos ou atualizações do sistema operacional.

Você pode verificar o histórico de reinicializações do sistema filtrando as IDs de evento 12, 13, 19, 41, 1001, 1074, 6008, 6009 e 7045. Você pode usar o histórico filtrado para ver quando a primeira reinicialização inesperada ou verificação de bugs acontece e se novos drivers ou atualizações são aplicados pouco antes de o problema ocorrer.

O histórico a seguir mostra que há uma atualização de driver, destacada em vermelho, e a verificação de bugs começa logo depois.

A captura de tela mostra a ID de evento do sistema 7045 realçada no Visualizador de eventos.

Consulte a seguinte ID de evento 7045 para obter um exemplo:

A service was installed in the system.
 
Service Name:  Intel(R) Dynamic Application Loader Host Interface Service
Service File Name:  %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type:  user mode service
Service Start Type:  auto start
Service Account:  LocalSystem

O exemplo pode indicar que a verificação de bug se deve a uma atualização de driver recente. Você pode remover ou reverter a atualização do driver para ver se a verificação de bugs é interrompida ou não. Caso contrário, você pode coletar um despejo de memória para análise.