Tìm nguyên nhân Windows bị reboot trong Event Viewer

Khi làm việc với máy chủ windows hoặc các máy chạy hệ điều hành windows, đôi khi bạn được đồng nghiệp, khách hàng hỏi : Vì sao máy của tôi bị reboot? Máy của tôi bị reboot vào thời điểm nào, lý do là gì? Máy chủ của tôi bị ai tắt vậy?…

Bạn không thể hỏi từng người rằng ai hoặc nguyên nhân nào đã thực hiện shutdown, reboot máy. Vậy làm thế nào để có thể tìm ra lý do dẫn đến việc windows bị restart?

Thật là may mắn cho bạn vì các nhà phát triển Windows đã tính toán tới các việc này và cung cấp tiện ích Event Viewer để bạn có thể tra cứu và tìm các lý do. Trong bài viết này, Học chủ động sẽ hướng dẫn bạn sử dụng Windows Event Viewer để tìm nguyên nhân, thời điểm mà các máy chủ windows bị reboot hoặc shutdown.

Hiển thị log shutdown trong Event Viewer

Windows Event Viewer là công cụ để ghi lại nhật ký các vấn đề, cảnh báo cơ bản xảy ra với hệ thống. Trong đó nó sẽ ghi lại các sự kiện, thời gian và nguyên nhân mà máy chủ windows bị reboot hoặc shutdown là gì.

Khởi động Event Viewer và tìm kiếm các event liên quan đến hệ thống bị shutdowns. Nhấn Win + R nhập vào eventvwr.msc và nhấp OK để mở Event Viewer.

Ta sẽ thấy giao diện Event Viewer như sau:

Log shutdown của windows được lưu lại System của Windows log, vậy nên trước tiên ta chọn Windows Logs sau đó chọn System để hiển thị các log hệ thống.

Log ShutdownRestart của windows được thể hiện ở ID của sự kiện. Đối với log shutdown và restart có 4 ID sự kiện được kết nối với việc tắt và khởi động lại:

  • Event ID 41 – Nó cho biết đây là log cho biết máy đã được khởi động lại và trước đó máy đã bị tắt bởi các lý do chẳng hạn như: máy bị treo nên bị tắt bằng cách giữ vào nút nguồn hoặc mất điện đột ngột.
  • Event ID 1074 – Nó cho biết máy khởi động lại khi 1 ứng dụng khiến hệ thống khởi động lại hoặc khi người dùng tiến hành khởi động lại, tắt máy. Ví dụ nó có thể khởi động lại do Windows Update.
  • Event ID 6006 – Nó cho biết dịch vụ Event log đã bị stop. Sự kiện này xảy ra trong quá trình khởi động hoặc tắt máy. Nó thường xuất hiện cùng với event id 1074.
  • Event ID 6008 – Nó cho biết trước đó windows bị tắt đột ngột. Nó có thể do nguồn điện bị mất đột ngột hoặc phần cứng đang hoạt động không đúng cách dẫn đến máy bị tắt (có thể do CPU quá nóng hoặc từ card đồ họa, ổ cứng …).

Để lọc các sự kiện liên quan đến các Event ID ở trên, hãy chọn Filter Current Log để lọc event id.

Sau đó hãy nhập vào các Event ID là 1074,6006,6008,41 để chỉ xem các event id liên quan đến log shutdown.

Sau khi nhấp OK, ta sẽ thấy Event Viewer chỉ hiển thị các sự kiện liên quan đến log shutdown của windows.

Hãy kích đúp chuột vào 1 event để xem chi tiết về ngườ đã khởi động lại máy chủ, ngày giờ máy chủ bị reboot hoặc shutdown và các thông tin chi tiết khác của sự kiện.

Sau khi xem chi tiết các sự kiện, bạn có thể đóng lại Event Viewer nếu muốn hoặc bạn có thể tìm hiểu một số thông tin hữu ích khác liên quan đến khởi động hệ thống như:

  • Event ID 6005 – Cho biết dịch vụ Event Log đã được start. Nó được ghi nhật ký sau khi windows được khởi động lại hoặc tắt máy do người dùng, ứng dụng.
  • Event ID 6009 – Sự kiện được ghi khi khởi động máy. Nó chứa 1 chuỗi xác định phiên bản hệ điều hành.
  • Event ID 6013 – Cho biết thời gian máy chủ hoạt động (từ lần reboot gần đây nhất).
  • Event ID 1076 – Người dùng có đặc quyền tắt máy đã đăng nhập đầu tiên vào máy chủ sau khi khởi động lại hoặc tắt đột ngột.

Đối với các thắc mắc hoặc đề xuất mọi người có thể để lại bình luận phía dưới để mình có thể giải đáp hoặc tiếp thu ý kiến để hoàn thiện hơn.

Leave a Comment