Windows异常关机排查指南:系统日志与可靠性监视程序详解
Windows异常关机排查指南:系统日志与可靠性监视程序详解
当你的计算机表现得好好的,突然间出问题了,当你试图弄清楚发生了什么事情时,它会神奇地自行修复,这非常的烦人,无法弄清楚我们的Windows到底发生了什么。下面有几种方法,告诉我们如何查看Windows在我们不在的情况下,自己发生了什么。
系统日志
在"此电脑"上右键,选择"管理",可以查看系统日志。以下是一些重要的事件ID及其含义:
系统(System)
1074:查看计算机的开机、关机、重启的时间以及原因和注释。
6005:表示日志服务已启动,用来判断正常开机进入系统。
6006:表示日志服务已停止,用来判断系统关机。
6009:表示非正常关机,按Ctrl+Alt+Delete键关机。
41:表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。
4199:当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。
35, 36, 37:记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常。
134:当出现时间同步源DNS解析失败时会出现此事件ID。
7045:服务创建成功
7030:服务创建失败
安全(Security)
4624:表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625:表示登陆失败的用户,用来判断RDP爆破的情况。
4672:表示授予了特殊权限
4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740:事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727, 4737, 4739, 4762:表示当用户组发生添加、删除时或组内添加成员时生成该事件。
设置(Setup)
1, 2, 3, 4:用来查看Windows系统更新的记录,事件ID前后顺序为“已挂起、已安装、错误失败、提示重启”。事件ID3,更新错误或失败是重点查看对象。
可靠性监视程序
通过"开始菜单"->"控制面板"->"系统和安全"->"安全与维护",可以查看系统可靠性报告。你可以在任何一天点击一个小X,它会告诉你发生了一个关键事件,比如Windows未正常关闭或者特定的软件停止工作了。感叹号是在Windows更新时告诉你一些信息,比如Windows更新成功。感叹号是一个警告内容。
你可以点击"查看技术详细信息"来查看问题,问题详细信息会找出哪些软件或者原因导致了电脑出现问题。
Windows设置(更新和安全)
你也可以通过Windows设置中的"更新与安全"进行查看。位置:可点击开始菜单->admin->更改账户设置->主页。
如果是因为更新导致,可在Windows更新中高级选项设置。