Windowsのシャットダウンがどのように行われたかをログから調べます。
具体的には、イベントビューアーを使って「シャットダウンイベント」や「再起動イベント」を確認します。
1. イベントビューアーでシャットダウン履歴を確認
操作手順
- 「イベントビューアー」を起動
Windowsキー + R →eventvwr.mscと入力してEnter - 左ペインで
Windowsログ > システム
をクリック - 右ペインで「現在のログをフィルター」を選択し、
イベントIDに次を入力
1074, 6006, 6008, 6005, 6009
| イベントID | 内容 | 例 |
|---|---|---|
| 1074 | プロセスまたはユーザーによるシャットダウンや再起動 | ソフトやユーザー操作 |
| 6006 | イベントログサービスの正常な停止 | 正常シャットダウン |
| 6008 | 前回のシャットダウンが予期せぬものだった | 強制終了/電源断 |
| 6005 | イベントログサービスの開始 | 起動時(参考) |
| 6009 | システム起動時の詳細 | 起動時(参考) |
2. どのような理由でシャットダウンされたか確認
- ID 1074の詳細を見ると、
**「シャットダウンの理由」**や、
「シャットダウンを実行したユーザー」、
「発生元プロセス」(例:explorer.exe,winlogon.exeなど)が表示されます。
例)
シャットダウンの種類: シャットダウン
発生元: User32
プロセス: C:\Windows\System32\shutdown.exe
ユーザー: DOMAIN\ユーザー名
シャットダウン理由: (0x500ff)
コメント