可通过事件查看器筛选ID为1074、6005、6006、41的系统日志定位关机事件,用PowerShell导出关机前后日志,对比6006(正常)与41(异常)事件判断关机性质,并通过组策略启用详细关机跟踪。
如果您在电脑关机后希望查看关机前发生的系统事件,Windows 事件查看器中可能已记录相关日志。以下是获取这些信息的具体操作步骤:
Windows 系统会在“系统”日志中记录关机、重启和意外关闭等关键事件,事件ID通常为1074、6005、6006、41等。通过筛选特定事件ID可快速定位关机相关条目。
1、按下 Win + R 组合键,输入 eventvwr.msc,回车启动事件查看器。
2、在左窗格依次展开 Windows 日志 → 系统。
3、在右窗格点击 筛选当前日志。
4、在“事件ID”文本框中输入 1074,6005,6006,41(多个ID用英文逗号分隔),点击确定。
PowerShell 可按时间范围精确提取日志,避免手动翻查大量条目,尤其适用于排查突发性异常关机原因。
1、以管理员身份运行 PowerShell。
2、执行以下命令,将最近一次关机前30分钟至关机后5分钟的系统日志导出为XML文件:Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddMinutes(-35); EndTime=(Get-Date).AddMinutes(5)} | Where-Object {$_.Id -in 1074,6005,6006,41} | Export-Clixml C:\shutdown_events.xml。
3、用记事本或事件查看器导入 C:\shutdown_events.xml 查看结果。
软件前台介绍:网站首页:是访客和网站的信息交流枢纽中心,集成了最新、热门、推荐的商机、商品、企业、新闻信息的综合。进入各大栏目的通道。 商业机会:可以按行业,按分类查看机关商机,如供应、求购、招商等商业机会,可以信息进行评论。不同权限会员具有不同的查看及发布权限。 商品报价:会员发布商品集中展示,可按分类或行业进行查看,及对相关商品发布、查看评论。 公司名录:按行业查看普通、高级、诚信会员的介绍、
0
事件ID 6006 表示“事件日志服务已停止”,通常伴随正常关机;而事件ID 41 表示“系统未正常关机”,多由断电、死机或强制断电导致。对比二者时间戳与关联任务可判断关机性质。
1、在事件查看器“系统”日志中,分别查找最近一条 ID 6006 和最近一条 ID 41 的事件。
2、双击任一事件,切换到 详细信息 → XML 选项卡,查看 TimeCreated SystemTime 值。
3、比对两个时间戳是否重合或间隔极短;若仅存在ID 41且无对应ID 6006,则表明该次关机为非正常终止。
默认情况下,Windows 不记录关机过程中的进程退出详情。启用“诊断策略服务”并配置“关闭体验”策略后,系统会生成更详细的关机行为日志,包括哪些程序延迟关机。
1、按下 Win + R,输入 gpedit.msc,回车打开组策略编辑器(仅限专业版/企业版)。
2、导航至 计算机配置 → 管理模板 → 系统 → 关机。
3、双击 “在关机期间显示关闭原因”,设置为 已启用。
4、再双击 “关闭体验”,设置为 已启用,并勾选 “记录关机事件”。
以上就是电脑关机查看事件信息的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
933
收藏
