如何查找谁重新启动了您的 Windows Server

管理 Windows 服务器时，意外重启可能会中断操作并引起关注。幸运的是，Windows 提供了内置工具来调查这些事件。本指南将引导您使用事件查看器来识别是谁或什么重新启动了您的 Windows Server。

使用事件查看器跟踪服务器重新启动

事件查看器是一个功能强大的内置 Windows 实用程序，用于记录系统事件，包括重新启动和关闭。通过过滤这些日志，您可以查明服务器重新启动的确切时间和原因。

步骤一：按打开事件查看器Windows key + R, 打字eventvwr，然后按 Enter 键。或者，您可以在 Windows 搜索栏中搜索“事件查看器”。

步骤2：在“事件查看器”窗口中，展开左窗格中的“Windows 日志”部分。

步骤3：右键单击“系统”，然后从上下文菜单中选择“过滤当前日志”。

第4步：在过滤当前日志窗口中，输入1074在“事件源”部分下的“所有事件 ID”字段中。此事件 ID 特别与系统重新启动和关闭相关。

第5步：单击“确定”应用过滤器。主窗格现在将仅显示 ID 为 1074 的事件，这些事件与系统重新启动和关闭相关。

第6步：双击事件可查看其详细信息。提供的信息包括：

• 启动重新启动的进程（例如，C:WindowsSystem32svchost.exe）。
• 负责重新启动的用户帐户（例如，NT AUTHORITYSYSTEM 或特定用户帐户）。
• 重新启动的原因（例如操作系统更新、应用程序安装）。
• 重新启动的确切时间和日期。

通过检查这些详细信息，您可以确定重新启动是由系统进程、应用程序还是用户操作启动。

解释重启原因

查看事件详细信息时，请注意“原因”字段。重新启动的常见原因包括：

• 操作系统：Service pack（计划）：表示由于 Windows 更新而重新启动。
• 应用程序：安装（计划）：建议由软件安装触发重新启动。
• 应用程序：维护（计划外）：可能表示应用程序崩溃并强制重新启动。
• 其他（计划）：通常在用户手动启动重新启动时使用。

了解这些原因可以帮助您识别可能需要解决的模式或问题，例如频繁的计划外重启或未经授权的用户操作。

要监控的其他事件 ID

虽然事件 ID 1074 对于重启信息至关重要，但其他事件 ID 可以提供额外的上下文：

• 事件 ID 6005：表示事件日志服务已启动，在系统启动时发生。
• 事件 ID 6006：显示事件日志服务已停止，这是在干净关闭期间发生的。
• 事件 ID 41：表示系统在没有完全关闭的情况下重新启动，通常是由于崩溃或断电。

要将这些内容包含在搜索中，请将它们添加到事件查看器中的事件 ID 筛选器中，并用逗号分隔每个 ID（例如，1074、6005、6006、41）。

参见：如何在 Windows Server 2012 R2 上安装 SQL Server 2016 CTP 3.0

主动监控和警报

要更主动地管理服务器重新启动，请考虑设置警报：

步骤一：在事件查看器中，右键单击您为重新启动事件创建的筛选视图。

步骤2：选择“将任务附加到此自定义视图”。

步骤3：按照向导创建一个在发生重新启动事件时发送电子邮件或运行脚本的任务。

这种方法允许您立即接收有关服务器重新启动的通知，从而加快对意外事件的响应时间。

通过掌握这些事件查看器技术，您将获得有关 Windows Server 重新启动历史记录的宝贵见解。这些知识使您能够更好地控制服务器的正常运行时间并快速解决任何异常的重启模式。