通过 Windows 服务器的事件判断是否被非法关机

作者:vkvi 来源:ITPOW(原创) 日期:2010-11-13

有人在百度知道上问,他怀疑机房停电造成了非法关机,但只是怀疑,怎样从日志中找出这个证据。

有人回答说没办法,因为停电后,机器就关了,日志就无法记录了。

其实这个回答是不对的。

  • 如果 Windows 正常关机,那么 eventlog 会写最后一条日志,其事件 ID 为 6006

  • 当 Windows 启动时,eventlog 会最先写两条日志,其事件 ID 分别为 60096005

所以正常关机的情况下,eventlog 会有三条连续的事件,事件 ID 分别为 6006、6009、6005。

非正常关机时,eventlog 就只有两条事件,事件 ID 分别是 6009、6005,缺少 6006。

要查看日志,可运行 eventvwr.msc,并选择事件查看器的“系统”。

相关文章