电脑关机查看事件信息

可通过事件查看器筛选ID为1074、6005、6006、41的系统日志定位关机事件，用PowerShell导出关机前后日志，对比6006（正常）与41（异常）事件判断关机性质，并通过组策略启用详细关机跟踪。

如果您在电脑关机后希望查看关机前发生的系统事件，Windows 事件查看器中可能已记录相关日志。以下是获取这些信息的具体操作步骤：

一、打开事件查看器并定位关机事件

Windows 系统会在“系统”日志中记录关机、重启和意外关闭等关键事件，事件ID通常为1074、6005、6006、41等。通过筛选特定事件ID可快速定位关机相关条目。

1、按下 Win + R 组合键，输入 eventvwr.msc，回车启动事件查看器。

2、在左窗格依次展开 Windows 日志 → 系统。

3、在右窗格点击 筛选当前日志。

4、在“事件ID”文本框中输入 1074,6005,6006,41（多个ID用英文逗号分隔），点击确定。

二、使用命令行导出关机前后30分钟日志

PowerShell 可按时间范围精确提取日志，避免手动翻查大量条目，尤其适用于排查突发性异常关机原因。

1、以管理员身份运行 PowerShell。

2、执行以下命令，将最近一次关机前30分钟至关机后5分钟的系统日志导出为XML文件：Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddMinutes(-35); EndTime=(Get-Date).AddMinutes(5)} | Where-Object {$_.Id -in 1074,6005,6006,41} | Export-Clixml C:\shutdown_events.xml。

3、用记事本或事件查看器导入 C:\shutdown_events.xml 查看结果。

标签： windows 计算机 电脑 win