腾讯云Windows重启与关机事件日志

一、关机

1. “右击”开始菜单—》关机或注销—》“关机” 或者 “更新并关机” EventID=1074 进程：C:\Windows\Explorer.EXE，用户Administrator，关闭电源：其他(计划外) 关机类型：关闭电源 原因代码：0x0
2. 点击”开始菜单—》点击“电源”按钮—》关机 EventID=1074 进程：C:\Windows\System32\RuntimeBroker.exe，用户Administrator，关闭电源：其他(计划外) 关机类型：关闭电源 原因代码：0x0
3. 通过PowerShell执行stop-computer关机 EventID=1074 进程：C:\Windows\system32\wbem\wmiprvse.exe，用户Administrator，关机：没有找到这个原因的标题 关机类型：关机 原因代码：0x80070015
4. 通过shutdown -s -t 0 关机 EventID=1074 进程：C:\Windows\system32\shutdown.exe，用户Administrator，关机：没有找到这个原因的标题 关机类型：关机 原因代码：0x800000ff
5. 控制台-正常关机 EventID=1074 进程：C:\Windows\system32\winlogon.exe，用户SYSTEM，关闭电源：没有找到这个原因的标题 关机类型：关闭电源 原因代码：0x500ff
6. 控制台-强制关机 EventID=41 系统已在未先正常关机的情况下重新启动。

二、重启

1. “右击”开始菜单—》关机或注销—》“重启” 或者 “更新并重启” EventID=1074 进程：C:\Windows\Explorer.EXE，用户Administrator，重启：其他(计划外) 关机类型：重启 原因代码：0x0
2. 点击”开始菜单—》点击“电源”按钮—》重启 EventID=1074 进程：C:\Windows\System32\RuntimeBroker.exe，用户Administrator，重启：其他(计划外) 关机类型：重启 原因代码：0x0
3. 通过PowerShell执行restart-computer重启 EventID=1074 进程：C:\Windows\system32\wbem\wmiprvse.exe，用户Administrator，重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x80070015
4. 通过shutdown -r -t 0重启 EventID=1074 进程：C:\Windows\system32\shutdown.exe，用户Administrator，重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x800000ff
5. 控制台-正常重启 EventID=1074 进程：C:\Windows\system32\winlogon.exe，用户SYSTEM，关闭电源：没有找到这个原因的标题 关机类型：关闭电源 原因代码：0x500ff
6. 控制台-强制重启 EventID=41 系统已在未先正常关机的情况下重新启动。
7. 更新完补丁，在设置里头点击“立即重新启动” EventID=1074 进程：C:\Windows\system32\MusNotificationUx.exe，用户Administrator，重启：操作系统：Service Pack(计划内) 关机类型：重启 原因代码：0x80020010
8. 安装完Windows自带功能角色，勾选了“如果需要，自动重新启动目标服务器” EventID=1074 进程：C:\Windows\system32\wbem\wmiprvse.exe，用户Administrator, 重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x80070015 或者 进程：C:\Windows\system32\wsmprovhost.exe，用户Administrator, 重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x80020021 注释：正在重新启动此计算机，因为安装或删除了Active Directory 域服务
9. 开启full dump等之后，点击“立即重新启动(R)” 会产生2条EventID 1074的事件日志。 EventID=1074 进程：systempropertiesadvanced.exe，用户Administrator，重启：操作系统：重新配置(计划内) 关机类型：重启 原因代码：0x84020004 EventID=1074 进程：C:\Windows\system32\winlogon.exe，用户SYSTEM，重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x500ff
10. 安装完第三方软件重启计算机 如：安装完宝塔，点击“重启服务器” EventID=1074 进程：C:\Windows\system32\shutdown.exe，用户SYSTEM，重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x800000ff 如：卸载360 EventID=1074 进程：C:\Windows\system32\winlogon.exe，用户SYSTEM，重启：没有找到这个原因的标题 关机类型：重启 原因代码：0x500ff