事件 ID 6009：仅在发生用户启动的关机时才会触发此事件吗？

Question 1

事件 6009在启动时记录，而不是在关机时记录。它仅包含标识操作系统版本的字符串。自 NT 4.0 左右以来一直如此。

如果你正在寻找系统启动的关机/重启，请寻找事件 1074。此事件的详细信息将告诉您哪个进程启动了重启以及给出了什么原因，您可以检查原因代码了解有关系统关闭或重启原因的更多信息。

Answer

事件 6009在启动时记录，而不是在关机时记录。它仅包含标识操作系统版本的字符串。自 NT 4.0 左右以来一直如此。

如果你正在寻找系统启动的关机/重启，请寻找事件 1074。此事件的详细信息将告诉您哪个进程启动了重启以及给出了什么原因，您可以检查原因代码了解有关系统关闭或重启原因的更多信息。

Question 2

感谢 Michael Hampton 澄清 6009 正在启动。

回答 OP 的问题，系统启动关机后是否会出现 6009？是的，看起来是这样。系统关机后计算机启动时会出现 6009。（系统关机是事件 ID 1074，就像 Michael 所说的那样）。

这是一个不错的 powershell，可以显示这两个事件，以便您可以亲眼看到 6009 跟随 1074：

Get-WinEvent -FilterHashtable @{LogName = "System"; Id = 1074, 6009; }

Answer

感谢 Michael Hampton 澄清 6009 正在启动。

回答 OP 的问题，系统启动关机后是否会出现 6009？是的，看起来是这样。系统关机后计算机启动时会出现 6009。（系统关机是事件 ID 1074，就像 Michael 所说的那样）。

这是一个不错的 powershell，可以显示这两个事件，以便您可以亲眼看到 6009 跟随 1074：

Get-WinEvent -FilterHashtable @{LogName = "System"; Id = 1074, 6009; }

相关内容