有人在百度知道上问,他怀疑机房停电造成了非法关机,但只是怀疑,怎样从日志中找出这个证据。
有人回答说没办法,因为停电后,机器就关了,日志就无法记录了。
其实这个回答是不对的。
如果 Windows 正常关机,那么 eventlog 会写最后一条日志,其事件 ID 为 6006。
当 Windows 启动时,eventlog 会最先写两条日志,其事件 ID 分别为 6009、6005。
所以正常关机的情况下,eventlog 会有三条连续的事件,事件 ID 分别为 6006、6009、6005。
非正常关机时,eventlog 就只有两条事件,事件 ID 分别是 6009、6005,缺少 6006。
要查看日志,可运行 eventvwr.msc,并选择事件查看器的“系统”。