El tutorial o código que hallarás en este artículo es la solución más eficiente y válida que encontramos a tu duda o dilema.
Solución:
Solución 1:
La respuesta más clara y sucinta que pude encontrar es:
- Cómo ver el historial de inicio y apagado de la PC en Windows
que enumera estos identificadores de eventos para monitorear (citados pero editados y reformateados del artículo):
- Id. de evento 6005 (alternativo): “Se inició el servicio de registro de eventos”. Esto es sinónimo de inicio del sistema.
- Id. de evento 6006 (alternativo): “Se detuvo el servicio de registro de eventos”. Esto es sinónimo de apagado del sistema.
- Id. de evento 6008 (alternativo): “El cierre del sistema anterior fue inesperado”. Registra que el sistema se inició después de que no se cerró correctamente.
- Id. de evento 6009 (alternativo): indica el nombre del producto, la versión, el número de compilación, el número de paquete de servicio y el tipo de sistema operativo de Windows detectados en el momento del arranque.
- Id. de evento 6013: muestra el tiempo de actividad de la computadora. No hay una página de TechNet para esta identificación.
Agregue a eso un par más de las respuestas de falla del servidor enumeradas en mi OP:
- Id. de evento 1074 (alternativo): “El proceso X ha iniciado el reinicio/apagado de la computadora en nombre del usuario Y por el siguiente motivo: Z”. Indica que una aplicación o un usuario inició un reinicio o apagado.
- Id. de evento 1076 (alternativo): “El motivo proporcionado por el usuario X para el último apagado inesperado de este equipo es: Y”. Registra cuándo el primer usuario con privilegios de apagado inicia sesión en la computadora después de un reinicio o apagado inesperado y proporciona una razón para la ocurrencia.
¿Me perdí alguno?
Solución 2:
Convirtiendo el comentario de @ user10082 en una respuesta. La solución propuesta es un script Powershell de una sola línea:
Get-EventLog -LogName System |? $_.EventID -in (6005,6006,6008,6009,1074,1076) | ft TimeGenerated,EventId,Message -AutoSize –wrap
Solución 3:
Simplemente dejaría esto como un comentario ya que JohnC básicamente ha cubierto todo, pero todavía no tengo permiso para hacerlo.
Los eventos que describió se han utilizado durante bastante tiempo, por lo que funcionarán para cualquiera de los sistemas operativos que mencionó, así como para sus hermanos de escritorio. Las páginas de identificación de eventos a las que se vinculó, como la de 6006 en TechNet, mencionan Windows Server 2003.
Si hubo un apagado elegante, iniciado por el usuario o no, también debería ver algún ID de evento 7036 que le indica que varios servicios “entraron en el estado detenido”. A medida que la máquina se reinicia, verá más 7036 que anuncian que los servicios están entrando en el estado de ejecución.
Solución 4:
Prefiero realizar actividades desde la línea de comandos. Este es el comienzo de un fragmento que puede aprovechar. Esto muestra los 30.000 registros del sistema más recientes y devuelve los reinicios dentro de esos registros.
Get-EventLog -LogName System -Newest 30000 | Where-Object $_.EventID -eq 6005
Solución 5:
Basándose en la respuesta de @JohnC y ampliándola
Podrías usar un filtro XML como:
Puede reemplazar 172800000 con los siguientes valores para el intervalo de tiempo:
86400000 – Últimas 24 horas
172800000 – Últimos 2 días
604800000 – Últimos 7 días
Esto mostrará muchos más detalles desde el momento en que el servidor/PC se desconectó. Incluye eventos Kernel-Power, User32 y EventLog.
Al final de todo puedes encontrar las interpretaciones de otros usuarios, tú también eres capaz mostrar el tuyo si dominas el tema.