Windows关机日志事件ID
在 Windows 10/11 及 Windows Server 系统中,关机、重启等操作都会记录在 事件查看器 的“系统”日志中,通过特定 事件ID 可以快速判断关机类型及原因。
1、常见事件ID及含义:
- 6005:事件日志服务已启动(开机)
- 6006:事件日志服务已停止(用户点击关机、计划任务)
- 6008:系统意外关闭(强制关机、断电、蓝屏)
- 1074:用户或系统触发的关机/重启(更新、用户手动重启)
- 41:系统未正常关机(崩溃、掉电、硬件故障)
- 1001:蓝屏(Bug Check)后重启
2、图形界面查看方法:
按 Win + R,输入 eventvwr.msc 回车。
展开 Windows 日志 → 系统。
点击右侧 筛选当前日志,在“事件ID”中输入:
6005,6006,6008,1074,41,1001
3、命令行快速查询
wevtutil qe System /c:50 /f:text /q:"*[System[(EventID=6005 or EventID=6006 or EventID=6008 or EventID=1074)]]"
可将结果导出:
wevtutil qe System /c:50 /f:text /q:"*[System[(EventID=6005 or EventID=6006)]]" > C:\boot_shutdown_log.txt
4、PowerShell结构化输出:
Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(6005,6006,6008,1074)} |
Select TimeCreated, Id, Message | Format-Table -AutoSize
5、其他日志常用事件说明
1、账号、登录、权限审计
核心用途:监控登录行为、账号变更、权限操作,排查暴力破解、越权、后门。
| 事件ID | 事件说明 | 运维关注点 |
|---|---|---|
| 4624 | 账号登录成功 | 必查!含登录类型: ・2 = 本地登录 ・3 = 网络 (共享 / RDP) ・10 = 远程桌面 (RDP) |
| 4625 | 账号登录失败 | 大量出现 =暴力破解。常见错误码: ・0xC000006A = 密码错 ・0xC0000064 = 用户名错 |
| 4648 | 使用显式凭据登录(运行身份) | 排查提权、异地登录、异常程序调用 |
| 4672 | 特权用户登录(管理员 / 域管) | 监控 Administrator 等高权限账号活动 |
| 4688 | 新进程创建 | 安全分析:命令行、父进程、可疑程序(如 cmd/powershell) |
| 4697 / 7045 | 服务安装 / 创建 | 恶意软件常注册服务,监控未知服务 |
| 4720 | 创建用户账号 | 检测非法新增账号 |
| 4726 | 删除用户账号 | 关键账号删除审计 |
| 4732 | 成员添加到本地管理员组 | 核心提权事件,严防越权 |
| 4740 | 用户账号被锁定 | 多次失败登录触发,防暴力破解 |
| 4776 | 密码更改 / 验证 | 账号密码变更审计 |
| 1102 | 安全日志已清除 | 高危!攻击者销毁痕迹 |
2、 硬件、驱动、服务、开关机
核心用途:排查蓝屏、死机、重启、服务异常、硬件故障
| 事件ID | 事件说明 | 运维关注点 |
|---|---|---|
| 41 | 系统未正常关机(蓝屏 / 断电 / 强制重启) | 死机、断电、硬件故障首要排查 ID |
| 6005 | 事件日志服务启动(开机) | 记录系统正常启动时间 |
| 6006 | 事件日志服务停止(正常关机) | 记录正常关机时间 |
| 6008 | 系统上次意外关闭 | 对应 41 事件,非正常关机溯源Microsoft Learn |
| 1074 | 系统正常关机 / 重启(含用户 / 程序触发) | 记录重启原因(如更新、计划任务) |
| 7036 | 服务状态变更(启动 / 停止 / 暂停) | 监控关键服务(DNS/HTTP/ 数据库)启停 |
| 7026 / 7027 | 服务启动失败 | 服务依赖缺失、权限不足、文件损坏 |
| 1001 / 1002 | 应用程序挂起 / 无响应 | 系统资源不足、程序死锁 |
| 100 / 101 | 启动性能数据 / 警告 | 开机慢:定位驱动 / 服务加载瓶颈 |
3、软件、.NET、数据库、组件报错
核心用途:排查应用崩溃、组件异常、第三方软件故障。
| 事件ID | 事件说明 | 运维关注点 |
|---|---|---|
| 1000 | 应用程序错误(崩溃) | 程序闪退、异常退出,含错误模块(如 ntdll.dll) |
| 1001 | 应用程序挂起(无响应) | 程序卡死、资源耗尽 |
| 1026 | .NET Runtime 错误 | .NET 程序未捕获异常(C#/ASP.NET) |
| 1008 | 应用程序配置错误 | 配置文件损坏、参数非法 |
| 10000 / 10001 | 分布式 COM(DCOM)错误 | 组件通信、权限、网络故障 |
| 3001 | 加载未签名驱动 | 驱动未签名、代码完整性拦截Microsoft Learn |
4、运维常用组合查询(实战)
1.查异常重启
- 系统日志:筛选 41, 6008, 1074
2.查 RDP 远程登录
- 安全日志:4624 + 登录类型 =10
3.查暴力破解
- 安全日志:4625(短时间大量)
4.查管理员组变更
- 安全日志:4732
5.查应用崩溃
- 应用日志:1000, 1001, 1026