Windows Serverの再起動/シャットダウン履歴

Windows Serverが再起動またはシャットダウンされるたびに、ユーザー開始、システム開始、システムクラッシュなどの理由を簡単に確認できますか？

Windowsイベントログは明らかな答えですが、表示する必要があるイベントの完全なリストは何ですか？

私の質問に部分的に答えるこれらの投稿を見つけました：

• Windowsサーバーの最終再起動時間には、完全な再起動履歴に部分的に対処するいくつかの回答が含まれます
• Windows Server 2008 R2でシャットダウンイベントトラッカーログを表示するには、追加のイベントIDが含まれます
• コンピューターの起動/起動時に同じイベントIDの一部が含まれるイベントログ時間

しかし、それらはすべてのシナリオを網羅しているわけではなく、情報は複数の回答にまたがっているので理解するのは困難です。

Windows Serverにはいくつかのバージョンがあるため、少なくともバージョン2008、2008 R2、2012、および2012 R2で機能するソリューションが理想的です。

私が見つけることができる最も明確な答えは次のとおりです。

• WindowsでPCの起動とシャットダウンの履歴を確認する方法

監視するこれらのイベントIDをリストします（引用されていますが、記事から編集および再フォーマットされています）：

• イベントID 6005（alternate）：「イベントログサービスが開始されました。」これはシステムの起動と同義です。
• イベントID 6006（alternate）：「イベントログサービスが停止しました。」これはシステムのシャットダウンと同義です。
• イベントID 6008（alternate）：「以前のシステムシャットダウンは予期しないものでした。」システムが正常にシャットダウンされなかった後に起動したことを記録します。
• イベントID 6009（代替）：ブート時に検出されたWindows製品名、バージョン、ビルド番号、サービスパック番号、およびオペレーティングシステムの種類を示します。
• イベントID 6013：コンピューターの稼働時間を表示します。このIDのTechNetページはありません。

私のOPにリストされているサーバー障害の回答からさらに2つ追加します：

• イベントID 1074（alternate）： "プロセスXは、次の理由でユーザーYに代わってコンピューターの再起動/シャットダウンを開始しました：Z." アプリケーションまたはユーザーが再起動またはシャットダウンを開始したことを示します。
• イベントID 1076（代替）：「このコンピューターの最後の予期しないシャットダウンのためにユーザーXから提供された理由は次のとおりです。」予期しない再起動またはシャットダウンの後に、シャットダウン特権を持つ最初のユーザーがコンピューターにログオンしたときに記録し、発生の理由を提供します。

私は何かを見逃しましたか？

JohnCは基本的にすべてをカバーしているので、これをコメントとして残しますが、まだそうすることはできません。

彼が説明したイベントはかなり長い間使用されてきたので、あなたが言及したどのOSでも、そしてデスクトップの仲間でも動作します。TechNetの6006など、彼がリンクしたイベントIDページには、Windows Server 2003が記載されています。

ユーザーが開始した、またはその他の方法でエレガントなシャットダウンが発生した場合は、さまざまなサービスが「停止状態になった」ことを示すイベントID 7036も表示されます。マシンが再び起動すると、サービスが実行状態になることを通知する7036がさらに表示されます。

@JohnCの回答に基づいて構築し、それを拡張する

次のようなXMLフィルターを使用できます。

<QueryList>
<Query Id="0" Path="System">
<Select Path="Security">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Setup">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='eventlog' or @Name='Microsoft-Windows-Eventlog'] and (EventID=1074 or EventID=1076 or EventID=6005 or EventID=6006 or EventID=6008) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="Microsoft-Windows-Kernel-Power/Thermal-Diagnostic">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Level=1 ) and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='User32'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-WER-SystemErrorReporting'] and TimeCreated[timediff(@SystemTime) &lt;= 172800000]]]</Select>
</Query>
</QueryList>

172800000は、時間範囲の以下の値に置き換えることができます。

86400000-過去24時間

172800000-過去2日間

604800000-過去7日間

これにより、サーバー/ PCがオフラインになったときからより詳細に表示されます。これには、Kernel-Power、User32、およびEventLogイベントが含まれます。

コマンドラインからアクティビティを実行することを好みます。これが、活用できるスニペットの始まりです。これは、最新の30,000システムレコードを表示し、それらのレコード内の再起動を返します。

Get-EventLog -LogName System -Newest 30000 | Where-Object {$_.EventID -eq 6005}