在Windows 10系统中,可以通过以下两种专业方法查看详细的关机日志(包括异常关机记录):
方法一:通过事件查看器(最全面)
1. 按 Win+R 输入 eventvwr.msc 回车
2. 左侧导航至:
应用程序和服务日志 → Microsoft → Windows → Diagnostics-Performance → Operational
3. 在右侧点击"筛选当前日志"
4. 在事件ID处输入:
- 正常关机:1074
- 异常关机:6005(启动)、6006(正常关机)、6008(异常关机)
- 电源事件:42
5. 查看详细事件属性,重点关注:
- 关机时间戳
- 关机进程ID
- 发起关机的用户账户
- 关机原因代码
方法二:通过PowerShell获取精简日志
Get-WinEvent -FilterHashtable @{
LogName='System'
ProviderName='Microsoft-Windows-Kernel-Power'
ID=41,1074,6006,6008
} | Format-Table TimeCreated,Id,Message -AutoSize -Wrap
高级技巧: 1. 导出日志到CSV分析:
Get-WinEvent -LogName System | Where-Object {$_.Id -in (41,1074,6005,6006,6008)} | Export-Csv -Path "C:\shutdown_logs.csv" -NoTypeInformation
Register-ObjectEvent -InputObject (New-Object System.Diagnostics.Eventing.Reader.EventLogWatcher -ArgumentList @([System.Diagnostics.Eventing.Reader.EventLogQuery]::new("System",[System.Diagnostics.Eventing.Reader.PathType]::LogName,"*[System[(EventID=41 or EventID=1074 or EventID=6006 or EventID=6008)]]")) -EventName "EventRecordWritten" -Action { $global:shutdownEvent = $EventArgs.EventRecord }
注意事项: 1. 异常关机(6008)通常伴随意外断电/蓝屏 2. 事件ID 1074会显示关机发起程序(如某个.exe触发了关机) 3. 对于服务器环境,建议配置事件转发集中收集关机日志
如需更深入分析,可使用Windows Performance Analyzer检查对应的ETW跟踪记录。