Dowiedz się, dlaczego komputer został ponownie uruchomiony bez powodu

Korzystam z systemu Windows 7. Z jakiegoś powodu mój komputer właśnie się zamknął i zrestartował. Nie otrzymałem żadnych ostrzeżeń ani wskazówek na ten temat. Czy istnieje sposób, aby dowiedzieć się, dlaczego mój komputer został ponownie uruchomiony?

Oto identyfikatory zdarzeń, które uważam za pomocne w śledzeniu ponownego uruchomienia:

Identyfikator zdarzenia 1074 (Źródło: USER32) to „ ... zainicjował ponowne uruchomienie ... ”
Identyfikator zdarzenia 6005 (Źródło: EventLog) to „ Uruchomiono usługę dziennika zdarzeń ”.
Identyfikator zdarzenia 6006 (Źródło: EventLog) to „ Usługa dziennika zdarzeń została zatrzymana ”.
Identyfikator zdarzenia 7001 (źródło: WinLogon) to „ Logowanie użytkownika ”.
Identyfikator zdarzenia 7002 (źródło: WinLogon) to „ Wylogowanie użytkownika ”.

6005 jest dobrym wskaźnikiem, że komputer uruchamia się / włącza się.
6006 jest dobrym wskaźnikiem, że komputer uruchamia się ponownie / wyłącza się.


1074to, co widzę, gdy coś spowodowało ponowne uruchomienie mojego systemu (zwykle aktualizacja systemu Windows).
Przykład:

Proces C: \ Windows \ CCM \ CcmExec.exe (SomeComputerName) zainicjował ponowne uruchomienie komputera SomeComputerName w imieniu użytkownika NT AUTHORITY \ SYSTEM z następującego powodu: Nie można znaleźć tytułu z tego powodu.
Kod przyczyny: 0x80020001
Typ zamknięcia: restart
Komentarz: Komputer uruchomi się ponownie 01/07/2017 08:14:38 PM, aby zakończyć instalację aplikacji i aktualizacji oprogramowania.

Online opis 1074 brzmi:

To zdarzenie jest zapisywane, gdy aplikacja powoduje ponowne uruchomienie systemu lub gdy użytkownik zainicjuje ponowne uruchomienie lub zamknięcie systemu, klikając przycisk Start lub naciskając klawisze CTRL + ALT + DELETE, a następnie klikając polecenie Zamknij.

Mój dziennik zawiera kilka identyfikatorów zdarzeń informacyjnych dla 7036 , więc postanowiłem je zignorować (jako hałas).
W polu „ Filtruj bieżący dziennik ... ” wstawiłem to, aby uwzględnić / wykluczyć następujące elementy:

-7036,1074,6005,6006,7001,7002

Na moim komputerze widziałem to:

Powiadomienie o ponownym uruchomieniu wyszło o 18:14 (kiedy mnie nie było na obiedzie).
Maszyna wylogowała mnie o 20:15.
Maszyna wyłączyła się o 20:16.
Maszyna uruchomiła się o 20:17 (co wskazuje na ciepły restart).
Kiedy wróciłem do domu z obiadu i filmu, zalogowałem się ponownie o 20:59.

W ten sposób wiedziałem, że nasz dział IT ustanowił zasady, które dawały mi tylko 2-godzinne powiadomienie o ponownym uruchomieniu.
Przyczyny ponownego uruchomienia mogą być różne, więc zanotuj te czasy i poszukaj czegoś zarejestrowanego w tych czasach.

Bezpłatne narzędzie Nirsoft , TurnedOnTimesView , wyświetla przyczyny.

Odpowiedź od MikeTeeVee jest już dobrym miejscem startowym, jednak możesz również chcieć uwzględnić niektóre wydarzenia Kernel-Power i Kernel-General (12,13,89,109,41,42).

Są to odpowiednio: uruchomienie systemu operacyjnego, zamknięcie systemu operacyjnego, zamknięcie menedżera zasilania, ponowne uruchomienie bez czystego zamknięcia, bezczynny system przechodzi w tryb uśpienia, operacja uśpienia nie powiodła się. Z pewnością mają one pewne nakładanie się z już podanymi identyfikatorami zdarzeń, ale w razie potrzeby mogą dodać dodatkowy kontekst.

Połączone pole Dołącz / wyklucz identyfikatory zdarzeń:

-7036,1074,6005,6006,7001,7002,6008,12,13,109,41,42,43,1

Sprawdź przeglądarkę zdarzeń. Otwórz menu Start na pasku zadań i wpisz „Podgląd zdarzeń” (bez cudzysłowów) w polu z napisem „Wyszukaj programy i pliki” i naciśnij klawisz Enter. Po otwarciu przeglądarki zdarzeń po lewej stronie kliknij strzałkę „Dzienniki systemu Windows”. Najprawdopodobniej znajdziesz swój restart w „System”.