在 Windows 系统中,有时需要了解系统最近的重启记录,例如排查意外关机或自动重启问题。本文将介绍几种查看 Windows 重启日志的常用方法。
方法一:使用事件查看器(Event Viewer)
Windows 自带的“事件查看器”可以查看系统日志,其中包含关机与重启事件。
- 按
Win + R打开“运行”对话框,输入eventvwr.msc并回车。 - 依次展开:Windows 日志 → 系统。
- 在右侧点击“筛选当前日志”。
- 在“事件ID”框中输入:
6005,6006,1074(含义如下):6005:事件日志服务启动(通常表示系统启动)6006:事件日志服务停止(通常表示系统正常关机)1074:系统即将关机或重启(由用户或程序发起)
- 点击“确定”,即可看到相关重启/关机记录。
方法二:使用 PowerShell 命令
通过 PowerShell 可快速查询最近的系统启动时间:
Get-WinEvent -FilterHashtable @{LogName='System'; ID=6005} | Select-Object TimeCreated若要查看所有关机/重启事件(含原因):
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,6006,6008} | Format-List TimeCreated, Message方法三:使用命令提示符(CMD)
虽然 CMD 功能有限,但可结合 wevtutil 工具导出日志:
wevtutil qe System /c:20 /rd:true /f:text /q:"*[System[(EventID=6005 or EventID=6006 or EventID=1074)]]"常见事件 ID 说明
| 事件 ID | 说明 |
|---|---|
| 6005 | 事件日志服务已启动(系统开机) |
| 6006 | 事件日志服务已停止(系统正常关机) |
| 6008 | 意外关机(如断电) |
| 1074 | 计划中的关机或重启(含发起进程和原因) |
注意事项
- 部分日志可能因系统设置或磁盘空间限制被覆盖,请及时查看。
- 若系统频繁自动重启,建议检查更新、驱动或硬件问题。
- 企业环境中可通过组策略集中收集事件日志。