Windows事件查看器可查关机日志:用eventvwr.msc筛选ID 1074(用户关机)、6006(正常关闭)、6008(意外终止);PowerShell命令Get-WinEvent快速导出;wevtutil命令行轻量查询;还需结合ID 16/41及7036服务事件分析异常原因。
如果您希望了解电脑关机过程中的系统行为或排查异常关机原因,Windows 事件查看器中记录了与关机相关的详细日志。以下是获取和分析这些记录的具体步骤:
一、打开事件查看器并定位关机事件
Windows 将关机操作记录在“系统”日志中,主要由 User32 和 Kernel-General 等来源生成,其中事件 ID 为 1074 表示用户主动发起关机或重启,ID 6006 和 6008 分别表示事件日志服务正常关闭和意外终止。
1、按 Win + R 键,输入 eventvwr.msc,回车启动事件查看器。
2、在左窗格依次展开 Windows 日志 → 系统。
3、在右侧操作面板点击 筛选当前日志。
4、在“事件ID”文本框中输入 1074,6006,6008,用英文逗号分隔,点击确定。
二、使用 PowerShell 快速导出最近关机记录
PowerShell 可直接查询指定事件 ID 并按时间倒序列出,避免手动翻阅大量日志,适用于需批量检查多台设备的场景。
1、以管理员身份运行 PowerShell。
2、执行以下命令:Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,6006,6008} -MaxEvents 50 | Sort-Object TimeCreated -Descending | Select-Object TimeCreated, ID, ProviderName, Message | Format-List。
3、观察输出中 TimeCreated 与 Message 字段,确认关机触发方式(如“InitiatedBy: User”或“ReasonCode: 0x500000f”)。
三、通过命令提示符查看关机摘要信息
系统内置的 wevtutil 工具支持轻量级日志查询,无需图形界面,适合远程桌面或低资源环境快速调取关键条目。
1、以管理员身份打开命令提示符。
2、运行命令:wevtutil qe System /q:"*[System[(EventID=1074) or (EventID=6006) or (EventID=6008)]]" /c:10 /rd:true /f:text。
3、结果中重点关注 Date and Time、Event ID 及 User 字段内容。
四、检查关机前后的服务状态变化
部分异常关机可能由服务崩溃引发,Kernel-General 类事件(ID 16 和 41)会记录内核级终止行为,需结合前后 5 分钟内的服务启停日志交叉验证。
1、在事件查看器中右键点击 系统 日志,选择 属性,记下“最后更新时间”。
2、返回日志列表,按时间排序,找到关机前 ID 7036(服务状态变更)事件,筛选 Service Name 包含 Themes、Dhcp 或 LanmanWorkstation 的条目。
3、对比其 Time Created 是否密集出现在关机前 60 秒内。
