Windows Server 重啟/關機歷史

如何輕鬆查看我的 Windows Server 每次重新啟動或關閉的歷史記錄以及原因，包括使用者啟動、系統啟動和系統崩潰？

Windows 事件日誌是一個顯而易見的答案，但我應該查看的完整事件列表是什麼？

我發現這些文章部分回答了我的問題：

• Windows 伺服器上次重新啟動時間包括幾個部分解決完整重新啟動歷史記錄的答案
• 查看 Windows Server 2008 R2 下的 Shutdown Event Tracker 日誌包含一個額外的事件 id
• 電腦啟動/啟動時的事件日誌時間包括一些相同的事件 ID

但這些並沒有涵蓋所有場景 AFAIK 並且資訊很難理解，因為它分佈在多個答案中。

我有多個版本的 Windows Server，因此至少適用於 2008、2008 R2、2012 和 2012 R2 版本的解決方案將是理想的。

我能找到的最清晰最簡潔的答案是：

• 如何在 Windows 中查看 PC 啟動和關閉歷史記錄

其中列出了要監視的這些事件 ID（引用但從文章中編輯和重新格式化）：

• 事件 ID 6005（備用）：“事件日誌服務已啟動。” 這是系統啟動的同義詞。
• 事件 ID 6006（備用）：“事件日誌服務已停止。” 這是系統關閉的同義詞。
• 事件 ID 6008（備用）：“上一次系統關閉是意外的。” 系統未正常關閉後啟動的記錄。
• 事件 ID 6009（備用）：指示在引導時檢測到的 Windows 產品名稱、版本、內部版本號、服務包號和作業系統類型。
• 事件 ID 6013：顯示電腦的正常執行時間。此 ID 沒有 TechNet 頁面。

從我的 OP 中列出的伺服器故障答案中添加更多內容：

• 事件 ID 1074（備用）：“程序 X 已代表使用者 Y 啟動重新啟動/關閉電腦，原因如下：Z。” 表示應用程序或使用者啟動了重新啟動或關閉。
• 事件 ID 1076（備用）：“使用者 X 提供的上次意外關閉此電腦的原因是：Y。” 記錄第一個具有關機權限的使用者在意外重新啟動或關機後登錄電腦的時間，並提供發生的原因。

我錯過了嗎？

引用自：https://serverfault.com/questions/702828