Windowsの起動と停止をイベントログで確認する

Windowsがいつ起動していつ停止したかをイベントログで確認する。

EventLog サービス のログ
システム イベントログ に出力。
イベント ソースは EventLog で、サービスの起動が EventID 6005、停止が EventID 6006。
ログのフィルタで 6005 と 6006 を抽出するとサービスの起動と停止が交互に並ぶ。

Kernel-General のログ
システム イベント ログに出力。
イベント ソースは Kernel-General。
Event ID 12：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx に開始しました。
Event ID 13：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx にシャット ダウンします。
注：この時間は UTC 表示であり、９時間ずれる。
ログのフィルタで 12 と 13 を抽出するとサービスの起動と停止が交互に並ぶ。

これら４つ（12,13,6005,6006）のイベントを抽出すると下記の順に並んで出力される。

１．EventLog 6005 イベントログサービス開始
２．Kernel-General 13 （前回の）システムシャットダウン （過去の時刻で登録される）
３．Kernel-General 12 （今回の）システム起動 （過去の時刻で登録される）
４．EventLog 6006 イベントログサービス終了

Kernel-General の 12, 13 のログの方が見やすい。

正しい手順での起動と停止となっていればこれらのログだけが規則正しく並ぶ。
STOP エラー、強制的な電源断などが起きた場合には これらのようには出力されないことがある。


予期しない再起動などの動作についての補足

EventLog サービスの停止が正しく行われなかった場合、EventLog 6008 が出力される。
ソース： EventLog
Event ID 6008
メッセージ：以前のシステム シャットダウン (yyyymmdd hhmmss) は予期されていませんでした。
※STOP エラーが起きた場合、電源ボタンでマシンを落とした場合などのケースで発生する。

別にイベント ID 41 が記録されることもある。（Windows 7/8/2008/2012）
システム イベントログ に出力。
ソースは Microsoft-Windows-Kernel-Power.
Event ID 41：システムは正常にシャットダウンする前に再起動しました。このエラーは、システムの応答の停止、クラッシュ、または予期しない電源の遮断により発生する可能性があります。

STOPエラーが発生した場合には Event ID 6008 とは別に２つのイベントログが出力される。

System Error
システム イベントログに出力。
イベント ソースは System Error、Event ID 1003
説明：エラー コード xxxxxxxx、パラメータ1 xxxxxxxx、パラメータ2 xxxxxxxx, パラメータ3 xxxxxxxx、パラメータ4 xxxxxxxx.

Save Dump
システム イベントログに出力。
イベント ソースは Save Dump、Event ID 1001
説明：
このコンピュータはバグチェック後、再起動されました。
バグチェック: xxxxxxxx (xxxxxxxx, xxxxxxxx, xxxxxxxx, xxxxxxxx)
ダンプが保存されました: C:\WINDOWS\MEMORY.DMP

イベントをウォッチする組み合わせは次の通り。
・Kernel-General の 12 と 13 でシステムの起動と停止を把握。
・EventLog 6008 でハングや STOP エラー、電源断などを把握。
　Microsoft-Windows-Kernel-Power の 41 も補助的に確認。
・System Error 1003 で STOP エラーを把握。
　ダンプが取れているかどうかを Save Dump 1001 で把握。