远程查询某个计算机重启/关机等原因:
方法一: 10天内 wevtutil 管理员运行:
wevtutil /r:SHA1906W0002 /a:NTLM qe System “/q:*[System[(EventID=6005 or EventID=6006 or EventID=6008 or EventID=1074 or EventID=41 or EventID=4624 or EventID=4624) and TimeCreated[timediff(@SystemTime) <= 864000000]]]” /f:text方法二: 最近10条 Get-WinEvent 管理员运行
Get-WinEvent -ComputerName "SHA1906W0002" -FilterHashtable @{LogName='System'; Id=6005, 6006, 6008, 1074, 41, 4624, 4625} -MaxEvents 10 | Format-Table -AutoSize -Wrap方法三: 最近10条 Get-EventLog 管理员运行
#远程到对方电脑 powershell
psexec.exe \\SHALT5CG2310BZ2 -s powershell
或者
psexec -i -e -h -s -realtime \\SHA1906W0002 powershell
或者
Enter-PSSession -ComputerName SHA1906W0002Get-EventLog -LogName System | Where-Object { $_.EventID -in (6005, 6006, 6008, 1074, 41, 4624, 4625) } | Select-Object @{Name='EventID';Expression={$_.EventID}}, @{Name='Time';Expression={$_.TimeGenerated}}, @{Name='Message';Expression={$_.Message}} -First 10 | Format-Table -AutoSize -WrapGet-EventLog -LogName System | Where-Object { $_.EventID -in (6005, 6006, 6008, 1074, 41, 4624, 4625) } | Select-Object -First 10 | Format-Table -AutoSize -Wrap
在“事件 ID”处可以输入特定 ID 来查找不同类型的重启原因:
6005:表示系统启动。
6006:表示系统正常关机。
6008:表示意外关机或重启,例如系统崩溃或停电后恢复。
事件 ID 含义:
6005:正常运行,表示系统已正常启动
6006:正常关机,表示系统已正确关闭
6008:系统意外关机。异常关机,通常是由于系统崩溃、电源中断或硬件问题导致的非正常关闭。
1074:系统重启或关机,由用户启动。正常关机或重启,由用户或程序请求触发。
41:非正常关机,系统因硬件问题关闭。(Kernel-Power)
4624:成功登录
4625:登录失败
扩展:
端口耗尽、tcpip相关日志
4227,4231,4266
开关机相关的事件ID
12,13,6005,6006,6008,41,1074
ProviderName:Microsoft-Windows-User Profiles Service
1530,1531,1532
ProviderName:Windows Error Reporting
1001
激活相关的事件ID
8197,8198,12288,12289