什么是关机事件日志?
在Windows操作系统中,每次关机、重启或意外断电等操作都会被记录在系统日志中。通过“事件查看器”(Event Viewer),用户可以查看这些事件的详细信息,包括时间、事件ID和原因。
常用关机相关事件ID
- 事件ID 1074:计划内的关机或重启(由用户或程序发起)。
- 事件ID 6006:事件日志服务已停止,通常表示正常关机。
- 事件ID 6008:系统意外关闭(如断电或崩溃)。
- 事件ID 13:系统从睡眠或休眠状态恢复(部分版本)。
如何查看关机事件日志?
- 按下
Win + R键,输入eventvwr.msc并回车,打开“事件查看器”。 - 依次展开:Windows 日志 → 系统。
- 在右侧点击“筛选当前日志...”。
- 在“事件ID”框中输入:
1074,6006,6008(用英文逗号分隔)。 - 点击“确定”,即可看到所有相关的关机/重启记录。
示例:筛选命令(PowerShell)
你也可以使用 PowerShell 快速查询最近的关机事件:
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,6006,6008} |
Select TimeCreated, Id, Message | Format-List注意事项
- 事件日志可能因磁盘空间限制而被自动覆盖,请及时备份重要记录。
- 某些精简版或企业定制版Windows可能禁用了部分日志记录功能。
- 若系统异常关机(如断电),可能不会生成事件ID 1074,但会留下6008。