Windows Server 2022 Standard服务器查看系统运行日志，查找什么时间及原因重启过服务器

原创已于 2026-04-16 13:46:35 修改 · 802 阅读

本内容遵循CC 4.0 BY-SA版权协议

标签

#windows

于 2026-04-01 09:33:13 首次发布

以下是在 Windows Server 2022 Standard 中查看服务器运行日志的方法

一、查看运行日志

通过运行命令打开：按下Win + R组合键，打开运行窗口，在输入框中输入 “eventvwr”，然后按下回车键。
通过控制面板打开：在控制面板中，先找到并点击 “系统和安全”，接着点击 “管理工具”，最后在管理工具中找到 “事件查看器”，双击将其打开。
通过任务管理器打开：右键点击任务栏，选择 “任务管理器”，在任务管理器窗口中，点击 “文件” 菜单，然后选择 “运行新任务”，在弹出的窗口中输入 “eventvwr”，点击 “确定”。
通过搜索功能打开：点击 “开始” 按钮，或者直接在任务栏的搜索框中输入 “事件查看器”，在搜索结果中找到并点击 “事件查看器”。

事件查看器左侧导航窗格显示了所有的事件日志，包括 “Windows 日志”“应用程序和服务日志” 等。

Windows 日志：包含系统、应用程序、安全、设置和转发事件等子类别。例如，“系统” 日志记录了系统组件（如驱动程序、服务等）的相关事件；“应用程序” 日志记录了应用程序产生的事件；“安全” 日志记录了与安全相关的事件，如用户登录、注销、权限更改等。
应用程序和服务日志：这里面包含了特定应用程序和服务的日志，展开后可以找到具体的应用程序或服务名称对应的日志。

在中央事件列表中，呈现了所选日志中的所有事件信息，每个事件包含事件级别（如信息、警告、错误、致命等）、日期和时间、源、事件 ID 和用户等详细信息。双击某个事件，便能查看该事件的详细描述、事件数据等内容，有助于准确排查故障、了解事件发生的背景和原因。

筛选事件：利用右侧操作窗格中的 “筛选当前日志” 选项，根据事件级别、日期范围、事件 ID 等条件进行筛选，快速定位到感兴趣的事件，提高查找特定事件的效率。
查找事件：若要查找特定的事件，可使用 “查找事件” 功能，在事件列表中点击右键，选择 “查找”，然后输入关键字进行搜索，便于在大量日志中迅速找到所需信息。

用户能够根据自身特定需求创建自定义视图，以便更便捷地查看特定类型的事件。通过右侧操作窗格中的 “创建自定义视图” 选项，设置筛选条件后保存并命名视图，之后可快速调用该视图查看相关事件。

可以将事件日志导出为文件，方便进行备份或分享给其他专业人员。在事件列表中点击右键，选择 “导出列表”，然后选择保存路径和文件格式即可完成导出操作。

步骤：

打开事件查看器（按Win + R输入eventvwr回车）。
导航到 Windows 日志 > 系统。
在右侧的事件列表中，筛选 事件 ID 6005（系统启动）和 事件 ID 6006（系统关闭）。
- 事件 ID 6005：记录系统启动时间。
- 事件 ID 6006：记录系统正常关闭时间（若未找到此 ID，可能是异常重启）。
双击事件可查看详细的日期和时间。

方法一：systeminfo 命令打开 命令提示符 或 PowerShell，输入：

powershell

systeminfo | findstr /B /C:"系统启动时间"

输出示例：系统启动时间: 2025/05/19, 14:30:45

方法二：PowerShell 命令在 PowerShell 中运行：

powershell

Get-EventLog -LogName System -InstanceId 6005 | Select-Object TimeGenerated

或使用更简洁的命令：

powershell

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} | Select-Object TimeCreated

若服务器按计划重启（如自动更新后），可检查：

系统日志文件位于：C:\Windows\System32\winevt\Logs\System.evtx可通过事件查看器打开此文件，或使用第三方工具（如 ELK Stack）分析。

若需长期跟踪重启记录，可通过性能监视器创建日志：

推荐方式：使用事件查看器（精确到秒）或systeminfo命令（快速查看）。
异常重启排查：若找不到事件 ID 6006，可能是断电、蓝屏（Bugcheck）等异常情况，需进一步检查事件日志中的错误记录（如事件 ID 1001）。