我想知道是否存在Windows API函数可以提供有关上次Windows重新启动来源的信息。可能有三种主要原因:
我能得到的细节越多越好。但是,我至少需要知道其中的主要原因。
我需要支持Windows Vista和Windows 7。
答案:
似乎没有直接的API可以获取该信息。相反,我们必须收集Windows事件日志。系统重新启动信息位于Event Viewer / Windows Logs / System中。以下是事件ID提供的各种信息:
我还不太明白电源丢失和系统崩溃之间的区别,但这是一个好的开始。
这篇文章详细介绍了如何查找最后一次启动/关闭的原因。在我的情况下,这是由于Windows SCCM推送更新,即使我在本地禁用它也是如此。请访问文章以获取完整的详细信息和图片。以下是从网站复制粘贴的步骤:
按下 Windows + R 键打开 运行 对话框,输入
eventvwr.msc,然后按 Enter。如果提示 UAC,请点击/点按是(Windows 7/8)或继续(Vista)。
在 事件查看器 的左侧窗格中,双击/点按 Windows 日志 展开它,点击/点按 系统 选择它, 然后右键点击 系统 并点击/点按 筛选当前日志。
根据您想要查看的关闭事件执行步骤5或6中的任一个。
要查看计算机所有用户关闭计算机的日期和时间
A) 在 事件来源 中,点击/点按下拉箭头并勾选
USER32框。B) 在 所有事件 ID 字段中,输入
1074,然后点击/点按 确定。C) 这将在事件查看器中间窗格的顶部给您一个关于关闭类型为 Power off (关闭电源) 和 restart shutdown 类型的事件列表。
D)您可以滚动查看这些列出的事件,以找到关闭类型为 Power off 的事件。您会注意到日期、时间以及哪个用户负责关闭计算机的每个 Power off 事件。
E)继续执行步骤7。
查看计算机的所有意外关机时间和日期
A. 在“全部事件 ID”字段中键入
6008,然后单击/点按“确定”。B. 这将在“事件查看器”的中间面板顶部显示未预期关闭事件列表。您可以滚动浏览这些列出的事件以查看每个事件的日期和时间。
完成后,您可以关闭事件查看器。
其他有用的事件 ID (来源)
ID 描述 41 系统在没有正常关闭的情况下重新启动。 1074 系统已经由用户或进程正确关闭。 1076 跟随事件 ID 6008,表示在意外重启或关闭后,第一个具有关闭特权的用户登录到服务器并指定原因。 6005 事件日志服务已启动。表示系统启动。 6006 事件日志服务已停止。表示正确的系统关闭。 6008 上一个系统关闭是意外的。 6009 检测到的操作系统版本在系统启动时。 6013 系统运行时间(以秒为单位)。
请查看事件日志 API。如果出现情况 a)(蓝屏、用户断电或系统挂起),则会在下一次正确重启系统时在“系统”事件日志中留下一条注释(类似于“系统未正确关闭”)。您应该能够使用上述 API 以编程方式访问它(老实说,我从未使用过,但它应该能够工作)。
$today = Get-Date
$startDay = $today.AddDays(-5)
$eventIds=(6005,6006,6008,6009,1074,1076,12,13,43,109)
$systEvents=Get-WinEvent -LogName System
$rebootEvents=$systEvents| Where-Object {$_.TimeCreated -gt $startDay} | Where-Object {$_.Id -in $eventIds}
format-table TimeCreated,Id,Message -AutoSize -wrap -InputObject $rebootEvents
有一种简单的方法可以使用PowerShell。
PowerShell "Get-WinEvent -FilterHashtable @{logname = 'System'; id = 1074, 6005, 6006, 6008} -MaxEvents 6 | Format-Table -wrap"
你也可以设置要显示的最大事件数。