如何獲取Windows最後一次重新啓動原因

Question

我想知道提供有關最後一次Windows重新啓動源的信息的Windows API函數（如果有）。主要有三種可能的原因：

1. 電腦死機藍屏
2. 用戶或程序關閉上/重啓
3. 一個掉電

的更多詳細信息我可以在電腦變得更好。但是，我需要知道至少從主要原因來看它是哪個原因。

我需要支持Windows Vista和Windows 7

答：

似乎沒有直接的API來獲取這些信息。相反，我們必須收穫Windows事件日誌。系統重新啓動信息位於事件查看器/ Windows日誌/系統中。這裏是由事件IDS提供的各種信息：

• 6005：Windows啓動
• 6006：Windows關機（正常）
• 6008：Windows關機（意外）

我還沒有獲得功率損失和系統崩潰之間的差異，但這是一個好的開始。

Answer 1

看一看的Event Log API。情況a）（藍屏，用戶切斷電源和絃或系統掛起）導致一個音符（'系統沒有正確關閉'或類似的東西）留在'系統'事件日誌中，下一次系統正常重啓。你應該能夠使用上面的API以編程方式訪問它（老實說，我從來沒有使用它，但它應該可以工作）。

Answer 2

您可以查看Events Log這可能會幫助你troubleshoot您的問題

Answer 3

這article詳細解釋如何找到上次啓動/關機的原因。在我的情況下，這是由於SCCM推送更新，即使我本地禁用了它。訪問文章的全部細節與圖片。作爲參考，這裏的步驟複製/從網站上粘貼：

1. 按Windows + R鍵打開運行對話框，鍵入eventvwr.msc，然後按Enter。

2. 如果UAC提示，然後點擊/點擊是（Windows 7/8）或繼續（Vista）。

3. 在事件查看器的左側窗格中，雙擊Windows日誌中的/點擊以展開它，單擊系統選擇它，然後右鍵單擊 系統，然後單擊/點擊過濾器當前日誌。

4. 請執行以下第5步或第6步，瞭解您希望看到什麼關機事件。

5. 看電腦

   A的所有用戶停機的日期和時間）點擊/點的下拉箭頭的事件源， 檢查USER32框的右側，然後單擊/ TAP在該領域。

   B）在字段中輸入1074，然後點擊/點擊確定。

   C）這會給你一個關閉電源（關機）並重新啓動的列表 關閉事件查看器中間窗格頂部的事件類型。 D）您可以滾動查看這些列出的事件，以查找關閉電源時的事件 作爲關閉類型。您將注意到日期和 時間，以及用戶負責關閉計算機的每個 關機事件。

   E）轉到步驟7

6. 看電腦

   A的所有意外停機）在現場的日期和時間，鍵入6008，然後點擊/點就OK了。

   B）這會給你一個事件查看器中間窗格頂部的 意外關閉事件列表。您可以滾動瀏覽列出的這些事件以查看每個日期和時間。

7. 完成後，您可以關閉事件查看器。