Eveniment ID 6009: acest eveniment se declanșează numai atunci când a avut loc o oprire inițiată de utilizator? (Administrarea sistemului, Windows Server 2008, Windows Server 2003, Jurnal De Evenimente Windows)

gravyface a intrebat.

Așa cum spune titlul. Din ceea ce am citit pe scurt, 6009 apare atunci când CTRL-ALT-DEL sau Start > Shutdown este inițiat de un utilizator. Dacă o secvență de oprire este inițiată de SYSTEM, de exemplu, acest eveniment ar fi, de asemenea, înregistrat?

2 răspunsuri
Michael Hampton

Evenimentul 6009 este înregistrat la pornire, nu la închidere. Acesta conține doar un șir de caractere care identifică versiunea sistemului de operare. Așa a fost de la NT 4.0 sau cam așa ceva.

Dacă sunteți în căutarea unei opriri/restartări inițiate de sistem, căutați evenimentul 1074. Detaliile pentru acest eveniment vă vor spune ce proces a inițiat repornirea și ce motiv a fost dat, iar dumneavoastră puteți verificați codul motivului pentru informații suplimentare despre motivul opririi sau repornirii sistemului.

Tim Bailen

Mulțumim lui Michael Hampton pentru clarificarea faptului că 6009 este la pornire.

Pentru a răspunde la întrebarea lui OP, există un 6009 după o oprire inițiată de sistem? Da, se pare că da. Există un 6009 odată ce calculatorul pornește după o oprire a sistemului. (Opririle sistemului sunt eveniment id 1074, așa cum spune Michael).

Iată un powershell drăguț pentru a afișa ambele evenimente, astfel încât să puteți vedea cu ochii voștri că 6009-urile urmează după 1074-uri:

Get-WinEvent -FilterHashtable @{LogName = "System"; Id = 1074, 6009; }