本文提供了有关使用系统事件日志排查意外重启问题的综合指南。 它有助于确定原因或导致其他故障排除步骤来查找根本原因。
通常有两种类型的重新启动,正常重新启动和意外重新启动。 在 Windows 中使用关闭或重启选项关闭或重启计算机时,将发生正常重新启动。 当计算机正常运行但因断电、硬件故障或 bug 检查而重新启动时,会发生意外重启。
查看事件 ID 12、13、6005 和 6009 以获取重新启动历史记录
可以筛选系统事件日志,以确定意外重启的原因。 事件 ID 12、13、6005 和 6009 可以显示计算机的重新启动历史记录和频率。
注意
事件 ID 编号可能与不同的源相关联,因此请确保根据相关源进行筛选,以便重新启动。
| 事件 ID | 源 | 说明 |
|---|---|---|
| 12 | Kernel-General | 操作系统在系统时间 <日期时间>启动。 |
| 13 | Kernel-General | 操作系统在系统时间 <日期时间>关闭。 |
| 6005 | EventLog | 事件日志服务已启动。 |
| 6009 | EventLog | Microsoft (R) Windows (R) <OS 版本> |
查看事件 ID 13、41、1074、6008 和 6009 以确定重新启动类型
事件 ID 13、41、1074、6008 和 6009 可以帮助确定重新启动是正常还是意外的。 指示正常重新启动的典型事件 ID 是事件 ID 1074,后跟事件 ID 13 和事件 ID 6009。 意外重启由事件 ID 41 和事件 ID 6008 表示。
注意
事件 ID 编号可能与不同的源相关联,因此请确保筛选相关源以重新启动。
| 事件 ID | 源 | 说明 |
|---|---|---|
| 13 | Kernel-General | 操作系统在系统时间 <日期时间>关闭。 |
| 41 | Kernel-Power | 系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。 |
| 1074 | User32 | 进程<名称已代表用户域用户<>启动计算机名称>重启,<原因如下:原因 >代码:<十六进制代码> 关闭类型:<<类型 >注释:> |
| 6008 | EventLog | 上一个系统在<>日期>时间<关闭是意外的。 |
| 6009 | EventLog | Microsoft (R) Windows (R) <OS 版本>。 |
查看事件 ID 19、41、1001、1074 和 7045,了解重新启动的原因
事件 ID 19、41、1001、1074 和 7045 可能指示重启原因。 某些重启是由 OS 更新、bug 检查和用户启动的关闭或重启引起的。 在软件安装或管理客户端过程中可能需要其他重新启动。
| 事件 ID | 源 | 说明 |
|---|---|---|
| 19 | WindowsUpdateClient | 安装成功:Windows 已成功安装以下更新:Windows 安全更新(<KB 编号>) |
| 41 | Kernel-Power | 系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。 |
| 1001 | WER-SystemErrorReporting | 计算机已从 bug 检查重新启动。 bug 检查为:0xXXXXXXXX(0xX、0xX、0xX、0xX)。 转储保存在:C:\Windows\MEMORY 中。DMP。 报告 ID: <GUID>。 |
| 1074 | User32 | 进程<名称已代表用户域用户<>启动计算机名称>重启,<原因如下:原因 >代码:<十六进制代码> 关闭类型:<<类型 >注释:> |
| 7045 | 服务控制管理器 | 系统中安装了一个服务。 服务名称:名称>服务文件名:<<路径位置 >服务类型:<类型服务> 启动类型:<启动类型 >服务帐户: <帐户 > |
通过将所有事件 ID 组合在一起,可以获取重启、关闭和计算机重新启动的可能原因的历史记录。
从正常重新启动方案开始,可以尝试确定为什么重新启动不满意。 这可能是由于累积更新、驱动程序更新、应用程序更新或类似的关闭。 在任何情况下,都应有一个事件 ID 1074,指示请求重启的原因和原因。
下面是事件 ID 1074 中不同类型的请求的一些示例:
-
The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found Reason Code: 0x500ff Shutdown Type: power off Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned) Reason Code: 0x0 Shutdown Type: restart Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned) Reason Code: 0x80020010 Shutdown Type: restart Comment:
在示例中,将列出请求重新启动的过程,后跟启动重新启动的帐户。 说明中还列出了原因代码和关闭类型。 在许多情况下,进程名称有助于确定重启可能调用的内容。
可以进一步解码原因代码。 有关详细信息,请参阅:
意外的重新启动示例
意外重启时,通常没有事件 ID 1074 日志条目。 事件 ID 41、1001 和 6008 表示意外重启。 下面是一个示例:
| 事件 ID | 源 | 说明 |
|---|---|---|
| 1001 | WER-SystemErrorReporting | 计算机已从 bug 检查重新启动。 bug 检查为:0xXXXXXXXX(0xX、0xX、0xX、0xX)。 转储保存在:C:\Windows\MEMORY 中。DMP。 报告 ID: <GUID>。 |
| 41 | Kernel-Power | 系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。 |
| 6008 | EventLog | 上一个系统在<>日期>时间<关闭是意外的。 |
在这种情况下,意外重启是由 bug 检查引起的。 bug 检查可能是由最近的开发引起的。 你可以查找任何驱动程序安装或更新、应用程序安装或 OS 更新。
可以通过筛选事件 ID 12、13、19、41、1001、1074、6008、6009 和 7045 来检查系统重启历史记录。 可以使用筛选的历史记录查看第一次意外重启或 bug 检查何时发生,以及问题发生前不久是否应用了任何新的驱动程序或更新。
以下历史记录显示驱动程序更新,突出显示为红色,bug 检查将在不久后启动。
有关示例,请参阅以下事件 ID 7045:
A service was installed in the system.
Service Name: Intel(R) Dynamic Application Loader Host Interface Service
Service File Name: %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem
该示例可能指示 bug 检查是由于最近的驱动程序更新造成的。 可以删除或回滚驱动程序更新,以查看 bug 检查是否停止。 如果没有,可以收集内存转储进行分析。