事件 ID 6009：此事件是否僅在發生使用者啟動的關閉時觸發？

正如標題所說。從我簡要閱讀的內容來看，當使用者啟動 CTRL-ALT-DEL 或 Start > Shutdown 時會發生 6009。例如，如果由 SYSTEM 啟動關閉序列，是否也會記錄此事件？

事件 6009在啟動時記錄，而不是在關機時記錄。它僅包含一個標識作業系統版本的字元串。從 NT 4.0 左右開始就是這樣。

如果您正在尋找系統啟動的關閉/重新啟動，請查找事件 1074。此事件的詳細資訊將告訴您哪個程序啟動了重新啟動以及給出的原因，您可以查看原因程式碼以獲取有關係統關閉或重新啟動原因的更多資訊。

感謝 Michael Hampton 澄清 6009 正在啟動。

要回答 OP 的問題，系統啟動關機後是否有 6009？是的，看起來是這樣。系統關閉後電腦啟動時出現 6009。（系統關閉是事件 id 1074，就像邁克爾說的那樣）。

這是一個很好的 powershell 來顯示這兩個事件，因此您可以自己看到 6009 跟隨 1074：

Get-WinEvent -FilterHashtable @{LogName = "System"; Id = 1074, 6009; }

引用自：https://serverfault.com/questions/397625