通过Windows的事件查看器可以查看系统的开关机事件,当系统出现异常关机时可以作为辅助诊断工具。
在命令行中运行 eventvwr.msc 可以启动事件查看器,开关机事件在“Windows日志”->“系统”节点下:
通过事件 ID 筛选开关机事件
开关机事件主要集中在 6005-6008 ,通过范围筛选出对应事件:
筛选出事件后可以在事件栏中看到相应的事件:
其中事件ID对应的事件内容为:
- 6005 事件日志服务已启动。
- 6006 事件日志服务已停止。
- 6008 上一次系统的关闭是意外的。
6005 代表Windows系统开机,6006代表系统正常关机,6008代表系统异常关机。当停电、系统崩溃时一般会报 6008 错误,开机后一般会提示系统出现过异常关机:
将过滤后的事件导出为 csv 日志可以更方便地对事件进行分析:
导出后的 csv 日志在 wps 中效果如下:
如何查找事件ID与事件的对应关系?在事件查看器中我们经常会误点到事件的“详细信息”,这个信息太专业了,往往看不懂事件ID对应的事件内容。
将面板切到“常规”选项卡,事件内容会以容易理解的方式显示,比如 6013 事件为系统启动时间。
事件 153 代表 IO 重试操作:
事件 157 代表磁盘意外移除:
事件 ID 与事件内容的对应关系在 github 上能找到一部分,不全但也够用了:
https://gist.github.com/githubfoam/69eee155e4edafb2e679fb6ac5ea47d0
如果想自己收集事件ID与事件内容间的对应关系,可以使用导出的方法,导出为 CSV 之后再对数据去重,生成中文版的事件ID对应表。后期如果需要定位相应事件可以通过事件ID对事件进行过滤。
全文完。
评论