Dica: Análise de eventos de shutdown e restart inesperado
Análise de eventos de shutdown e restart inesperado
Ola Friends!
Vc ja precisou realizar alguma analise de computador ou servidor que esteja sofrendo com shutdown ou restart inesperado?
Como tudo no windows este problema tambem gera log que vc pode analisar no EventViewer, porem como sabemos existem inumeros eventos, nesta dica eu tentei compilar de forma didatica quais os mais importantes e que ajudam durante analise do problema.
Os eventos listados a seguir geralmente estão ligados a problemas de shutdown e restart inesperado em computadores com Windows 7, 8 e 10 ou em Windows Server 2008, 2008R2, 2012 e 2012R2. Para facilitar o troubleshooting criei esta lista com os eventos mais conhecidos.
Evento 41
O sistema foi reiniciado sem um desligamento com erros, este evento é crítico e ocorre quando o computador é desligado ou reiniciado de forma inesperada.
Este evento do meu ponto de vista é o mais importante para se identificar quando acontece um shutdown/restart inesperado pois será gerado automaticamente ao ligar o computador/servidor.
Evento 42
O sistema está entrando em modo sleep devido ação do botão ou ter abaixado a tampa do laptop.
Evento 107
O sistema retomou do modo de suspensão. Este log é gerado após o sistema retomar do modo de sleep.
Em alguns casos de problemas com laptop ao verificar o log você pode encontrar estes os eventos 42 e 107 que são gerados quando o laptop entra em modo sleep, e isso as vezes acontece mesmo com as opções de energia já alteradas.
Portanto eu os considerei neste post pois podem ser uteis em casos de análise do EventViewer em laptop.
Evento 1074
O processo X iniciou o reinício/encerramento do computador em nome do usuário Y pelo seguinte motivo: Z. Indica que um aplicativo ou um usuário iniciou uma reinicialização ou desligamento
Este evento é muito útil quando você precisa identificar qual usuário desligou ou reiniciou um computador ou servidor.
Para não ficar olhando todo o EventViewer você pode filtrar por este evento ou utilizando o PowerShell realizar a consulta remota.
Get-EventLog -LogName System -ComputerName HOSTNAME | Where-Object {$_.EventID -eq ‘1074’} | FT MachineName, UserName, TimeGenerated -AutoSize
Evento 1076
O motivo fornecido pelo usuário X para o último desligamento inesperado deste computador é: Y. Registra quando o primeiro usuário com privilégios de desligamento faz logon no servidor após uma reinicialização ou desligamento inesperado e fornece um motivo para a ocorrência.
Evento 6005
O serviço de log de eventos foi iniciado.
Quando o serviço de log é iniciado este evento é gerado, portanto quando há shutdown/restart inesperado ou programado sempre será registrado.
Evento 6006
O serviço de log de eventos foi interrompido
Quando o serviço de log é interrompido este evento é gerado, portanto quando há shutdown/restart inesperado ou programado sempre será registrado.
Os eventos 6005 e 6006 são complementos para identificar shutdown/restart inesperado ou programado pois conforme você pode observar são eventos de start/stop do serviço de eventos.
Evento 6008
O desligamento anterior do sistema às 6:16:10 PM em DD/MM/AAAA foi inesperado.
Este evento guarda informações do horário de desligamento inesperado do S.O e é utilizado como complemento no diagnóstico realizado pelo analista.
Deixe nos comentarios se este post foi util ou ajudou durante o troubleshooting.
Gostou? Curta e compartilhe em suas redes sociais!
Veja também: