Код события перезагрузки windows
Пользователи, когда работают в системе Windows 10, иногда сталкиваются с ошибкой 6008 Eventlog. Чаще всего компьютер зависает, сам перегружается и не дает нормально им пользоваться. Разные причины приводят к такому сбою: от неудачной установки программного обеспечения до повреждения системных файлов. Стоит разобраться, почему возникает ошибка 6008.
Причины появления ошибки с кодом 6008 от источника Eventlog
Ошибка 6008 Eventlog проявляется в автономном отключении компьютера во время работы или запуска некоторых приложений. А еще компьютер, вероятно, очень сильно зависает. Возникает окно с ошибкой 6008.
Если компьютер показывает признаки этой неполадки, придется найти причины ее появления. Распространенные причины возникновения сбоя:
- проблемы с драйверами видеоадаптера;
- вирусы в системе;
- нарушения работы системных файлов;
- конфликты между программами;
- неправильная установка программ или игр.
Способы исправления
Пользователю нужно начать с легких способов устранения неполадки: проверка обновлений Windows и драйверов, антивирусное сканирование. Ниже представлены главные методы восстановления работы компьютера.
Проверка системных файлов
Системные файлы можно случайно удалить или повредить, когда пользователь открывает папки на диске. Также вирусы — распространенная причина повреждения файлов компьютера или ноутбука. Проверить целостность файлов Windows несложно:
- Нажать на строку поиска, расположенную на Панели задач в нижней части экрана.
- Ввести «Командная строка» и кликнуть правой кнопкой мыши.
- Запускается приложение от имени Администратора.
- Далее появится Командная строка, в которую пользователь должен ввести «sfc/scannow» без лишних пробелов, нажать «Enter» на клавиатуре и подождать.
- Спустя пару секунд строка покажет, есть ли поврежденные файлы.
Если все хорошо, понадобится перезагрузка компьютера для корректной работы. Однако, если событие снова возникает, придется повторить действия с Командной строкой, вписать туда: «dism /online /cleanup-image /restorehealth» и снова нажать клавишу «Enter».
На отметке 20 % подождать: если изменений не происходит, все нормально. Но если в процессе такой процедуры вносятся изменения, пользователю придется перезагрузить компьютер и снова сделать запрос на поврежденные файлы, как в шаге 4.
Очистка системы от временных файлов
Из-за загруженности компьютера временными файлами может произойти и такая ошибка. Для устранения неполадок выполняется очистка, проводящаяся по инструкции:
- Снова найти Командную строку на Панели задач.
- Ввести команду «cleanmgr», после чего нажать клавишу «Enter».
- Выбрать диск для очистки. Чаще всего очищают диск, на котором установлена проблемная программа. Иногда очищают не только тот диск.
- Выбрать в окне, что именно очистить. Можно поставить галочку напротив нескольких пунктов, но сначала выбрать пункт «Временные файлы».
- Подтвердить выбор и перезагрузить компьютер по завершении операции.
Восстановление системы
Если ни один способ не помог в лечении компьютера от ошибок, подходящий метод — восстановление Windows. Это откат до предыдущего состояния, когда неполадок не возникало. С помощью такого способа не только решают почти проблемы, но и очищают систему от личных файлов.
Для восстановления выполняют следующие действия:
- Потребуется выбрать строку поиска и ввести «Восстановление».
- Перейти в этот раздел и нажать на кнопку «Начать» — справа от списка.
- Выбрать из предложенного: удаление всех данных или с сохранением таковых. После подтверждения система запустит процесс.
Если удалить все данные с компьютера, получится совершенно чистая система без личных файлов. Такой способ подходит в тяжелых ситуациях и при необходимости начать все с начала. В большинстве же случаев подойдет откат с сохранением данных, где Windows просто вернется к предыдущему состоянию, без потери пользовательских настроек.
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
Event ID | Описание |
---|---|
41 | Система была перезагружена без корректного завершения работы. |
1074 | Система была корректного выключена пользователем или процессом. |
1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
6008 | Предыдущее выключение системы было неожиданным. |
6009 | Версия операционной системы, зафиксированная при загрузке системы. |
6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
- Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
- В панели слева разверните Журналы Windows и перейдите в Система
- Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала . . .
- Введите следующие коды в поле < Все коды событий > и нажмите OK :41,1074,1076,6005,6006,6008,6009,6013
Дельный Совет: История команд в PowerShell! Читать далее →
Логи Выключений в PowerShell
Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды Get - EventLog в PowerShell.
Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Дополнительную информацию можно посмотреть в статье Правила по срокам поддержки продуктов Майкрософт.
Проблема
Источник: Журнал событий
Тип: Ошибка
Описание:
Предыдущее завершение работы системы в TimeDate было неожиданным.
Причина
Такое поведение наблюдается в случае одновременного выполнения следующих условий.
Компьютер заблокирован или настроен на работу с экранной заставкой, защищенной паролем.
Завершение работы инициируется автоматически программой, использующей функцию InitiateSystemShutdownEx с флагом срочности.
Например, используется программа удаленного завершения работы (Shutdown.exe) из пакета Microsoft Windows 2000 Resource Kit, чтобы принудительно отключить компьютер с удаленного компьютера, или отключение локального компьютера программой Shutdown.exe запланировано с помощью команды at или планировщика заданий.
В такой ситуации служба журнала событий не получает уведомление о событии завершения работы, и поэтому завершение работы обрабатывается службой как непредвиденное событие.
Решение
Сведения об исправлении
Поддерживаемая функция изменяет стандартное поведение продукта корпорации Майкрософт. При этом она предназначена только для изменения поведения, описанного в этой статье. Ее следует применять только в тех системах, в которых это необходимо.
Если функция доступна для загрузки, в начале этой статьи базы знаний отображается раздел "Исправление доступно для загрузки". Если этот раздел отсутствует, обратитесь в службу поддержки пользователей Майкрософт, чтобы получить функцию.
Примечание. Если возникли другие проблемы или необходимо устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с этой функцией, оплачиваются на стандартных условиях. Чтобы получить полный список телефонных номеров службы поддержки пользователей корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите веб-сайт Майкрософт по следующему адресу:
Статус
Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к».
Дополнительная информация
Для получения дополнительных сведений об использовании программы удаленного завершения работы (Shutdown.exe) для выключения и перезагрузки локального или удаленного компьютера под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
317371 Выключение и перезагрузка компьютера под управлением Windows 2000 с помощью программы удаленного завершения работы
Для получения дополнительных сведений об установке нескольких обновлений с одной перезагрузкой компьютера щелкните следующий номер статьи базы знаний Майкрософт:
296861 Установка нескольких обновлений Windows с выполнением только одной перезагрузки системы
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
883635 После запуска заставки Windows на компьютере под управлением Windows 2000 Server может произойте аварийное выключение компьютера
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Начало транзакции установщика Windows: C:\Users\имя пользователя\AppData\Local\Temp\IXP000.TMP\soapsdk.msi. ИД клиентского процесса: 6264.Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Как я могу легко увидеть историю каждого перезапуска или выключения моего Windows Server и причину, в том числе инициированную пользователем, инициированную системой и сбой системы?
Журнал событий Windows - очевидный ответ, но какой полный список событий я должен просмотреть?
но они не охватывают каждый сценарий AFAIK, и информацию трудно понять, потому что она распределена по нескольким ответам.
У меня есть несколько версий Windows Server, поэтому решение, которое работает как минимум для версий 2008, 2008 R2, 2012 и 2012 R2, было бы идеальным.
Используете ли вы внешний инструмент мониторинга, .eg, opsview, nagios, icinga, shinken? Эти инструменты хранят результаты мониторинга в базе данных, и затем вы можете проверить, были ли серверы перезапущены и когда,Самый ясный и краткий ответ, который я смог найти:
который перечисляет эти идентификаторы событий для мониторинга (цитируется, но редактируется и переформатируется из статьи):
-
Код события 6005 ( альтернативный ): «Служба журнала событий была запущена». Это синоним запуска системы. ( альтернативное ): «Служба журнала событий остановлена». Это синоним выключения системы. ( альтернатива ): «Предыдущее отключение системы было неожиданным». Записи о том, что система запустилась после того, как не была корректно завершена. ( альтернативный ): указывает имя продукта Windows, версию, номер сборки, номер пакета обновления и тип операционной системы, обнаруженные во время загрузки.
- Код события 6013: отображает время работы компьютера. Для этого идентификатора нет страницы TechNet.
-
( альтернатива ): «Процесс X инициировал перезагрузку / выключение компьютера от имени пользователя Y по следующей причине: Z». Указывает, что приложение или пользователь инициировали перезапуск или завершение работы. ( альтернатива ): «Причина, указанная пользователем X для последнего неожиданного выключения этого компьютера: Y». Записывает, когда первый пользователь с правами на отключение входит в систему компьютера после неожиданного перезапуска или завершения работы и указывает причину возникновения.
Я что-нибудь пропустил?
Чтобы провести различие между отключением питания и перезагрузкой из-за проверки на наличие ошибок, найдите сочетание Event ID 41 (источник: Microsoft-Windows-Kernel-Power) и Event ID 1001: (источник: BugCheck). Бывший без последнего указывает на потерю мощности или сброс. Это было полезно. Спасибо, Джон. В поле ввода идентификатора события «Включает / исключает» в окне «Фильтровать текущий журнал» я ввел «6005, 6006, 6008, 6009, 6013, 1074, 1076», и он дал мне именно то, что мне было нужно. Вы, вероятно, должны добавить Kernel-General с помощью Eventid 12 , который обычно является первым событием, которое регистрируется после перезагрузки / сброса и т. Д., И показывает фактическое «время запуска системы», то есть: «Операционная система запущена в системное время 2017 - 09 - 19T02: 46: 06.582794900Z «.Я бы просто оставил это как комментарий, поскольку JohnC в основном охватил все, но мне пока не разрешено это делать.
Описанные им события использовались довольно давно, поэтому они будут работать для любой из упомянутых вами ОС, а также для их настольных собратьев. На страницах с идентификаторами событий, на которые он ссылался, например на 6006 в TechNet, упоминается Windows Server 2003.
Если произошло элегантное завершение работы, инициированное пользователем или иным образом, вы также должны увидеть какое-то событие с кодом 7036, сообщающее, что различные службы «перешли в состояние остановки». Когда машина снова запустится, вы увидите, что больше 7036-х сообщают, что сервисы переходят в рабочее состояние.
Вы также увидите большой блок события с идентификатором 7036, если служба периодически повторяет циклы, поэтому это не лучший способ поиска перезапусков. Вы должны искать события, описанные JohnC, в первую очередь.Опираясь на ответ @JohnC и расширяя его
Вы можете использовать XML-фильтр, например:
Вы можете заменить 172800000 на следующие значения для временного диапазона:
86400000 - последние 24 часа
172800000 - последние 2 дня
604800000 - последние 7 дней
Это покажет гораздо больше подробностей со времени, когда сервер / компьютер отключился. Он включает события Kernel-Power, User32 и EventLog.
Я предпочитаю выполнять действия из командной строки. Вот начало фрагмента, который вы можете использовать. Это показывает последние 30 000 системных записей и возвращает перезагрузки в этих записях.
Читайте также: