本文提供了有关使用系统事件日志排查意外重启问题的综合指南。 它有助于确定原因或导致其他故障排除步骤来查找根本原因。
通常有两种类型的重新启动,正常重新启动和意外重新启动。 在 Windows 中使用关闭或重启选项关闭或重启计算机时,将发生正常重新启动。 当计算机正常运行但因断电、硬件故障或 bug 检查而重新启动时,会发生意外重启。
查看事件 ID 12、13、6005 和 6009 以获取重新启动历史记录
可以筛选系统事件日志,以确定意外重启的原因。 事件 ID 12、13、6005 和 6009 可以显示计算机的重新启动历史记录和频率。
注意
事件 ID 编号可能与不同的源相关联,因此请确保根据相关源进行筛选,以便重新启动。
事件 ID
源
说明
12
Kernel-General
操作系统在系统时间 <日期时间>启动。
13
Kernel-General
操作系统在系统时间 <日期时间>关闭。
6005
EventLog
事件日志服务已启动。
6009
EventLog
Microsoft (R) Windows (R)
查看事件 ID 13、41、1074、6008 和 6009 以确定重新启动类型
事件 ID 13、41、1074、6008 和 6009 可以帮助确定重新启动是正常还是意外的。 指示正常重新启动的典型事件 ID 是事件 ID 1074,后跟事件 ID 13 和事件 ID 6009。 意外重启由事件 ID 41 和事件 ID 6008 表示。
注意
事件 ID 编号可能与不同的源相关联,因此请确保筛选相关源以重新启动。
事件 ID
源
说明
13
Kernel-General
操作系统在系统时间 <日期时间>关闭。
41
Kernel-Power
系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。
1074
User32
进程<名称已代表用户域用户<>启动计算机名称>重启,<原因如下:原因>代码:<十六进制代码>关闭类型:<<类型>注释:>
6008
EventLog
上一个系统在<>日期>时间<关闭是意外的。
6009
EventLog
Microsoft (R) Windows (R)
查看事件 ID 19、41、1001、1074 和 7045,了解重新启动的原因
事件 ID 19、41、1001、1074 和 7045 可能指示重启原因。 某些重启是由 OS 更新、bug 检查和用户启动的关闭或重启引起的。 在软件安装或管理客户端过程中可能需要其他重新启动。
事件 ID
源
说明
19
WindowsUpdateClient
安装成功:Windows 已成功安装以下更新:Windows 安全更新(
41
Kernel-Power
系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。
1001
WER-SystemErrorReporting
计算机已从 bug 检查重新启动。 bug 检查为:0xXXXXXXXX(0xX、0xX、0xX、0xX)。 转储保存在:C:\Windows\MEMORY 中。DMP。 报告 ID:
1074
User32
进程<名称已代表用户域用户<>启动计算机名称>重启,<原因如下:原因>代码:<十六进制代码>关闭类型:<<类型>注释:>
7045
服务控制管理器
系统中安装了一个服务。服务名称:名称>服务文件名:<<路径位置>服务类型:<类型服务>启动类型:<启动类型>服务帐户: <帐户>
通过将所有事件 ID 组合在一起,可以获取重启、关闭和计算机重新启动的可能原因的历史记录。
从正常重新启动方案开始,可以尝试确定为什么重新启动不满意。 这可能是由于累积更新、驱动程序更新、应用程序更新或类似的关闭。 在任何情况下,都应有一个事件 ID 1074,指示请求重启的原因和原因。
下面是事件 ID 1074 中不同类型的请求的一些示例:
The process
Reason Code: 0x500ff
Shutdown Type: power off
Comment:
The process
Reason Code: 0x0
Shutdown Type: restart
Comment:
The process
Reason Code: 0x80020010
Shutdown Type: restart
Comment:
在示例中,将列出请求重新启动的过程,后跟启动重新启动的帐户。 说明中还列出了原因代码和关闭类型。 在许多情况下,进程名称有助于确定重启可能调用的内容。
可以进一步解码原因代码。 有关详细信息,请参阅:
关闭原因
系统关闭原因代码
意外的重新启动示例
意外重启时,通常没有事件 ID 1074 日志条目。 事件 ID 41、1001 和 6008 表示意外重启。 下面是一个示例:
事件 ID
源
说明
1001
WER-SystemErrorReporting
计算机已从 bug 检查重新启动。 bug 检查为:0xXXXXXXXX(0xX、0xX、0xX、0xX)。 转储保存在:C:\Windows\MEMORY 中。DMP。 报告 ID:
41
Kernel-Power
系统已重新启动,无需先完全关闭。 如果系统停止响应、崩溃或意外断电,则可能导致此错误。
6008
EventLog
上一个系统在<>日期>时间<关闭是意外的。
在这种情况下,意外重启是由 bug 检查引起的。 bug 检查可能是由最近的开发引起的。 你可以查找任何驱动程序安装或更新、应用程序安装或 OS 更新。
可以通过筛选事件 ID 12、13、19、41、1001、1074、6008、6009 和 7045 来检查系统重启历史记录。 可以使用筛选的历史记录查看第一次意外重启或 bug 检查何时发生,以及问题发生前不久是否应用了任何新的驱动程序或更新。
以下历史记录显示驱动程序更新,突出显示为红色,bug 检查将在不久后启动。
有关示例,请参阅以下事件 ID 7045:
A service was installed in the system.
Service Name: Intel(R) Dynamic Application Loader Host Interface Service
Service File Name: %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem
该示例可能指示 bug 检查是由于最近的驱动程序更新造成的。 可以删除或回滚驱动程序更新,以查看 bug 检查是否停止。 如果没有,可以收集内存转储进行分析。