Finden Sie heraus, warum PC gerade ohne Grund neu gestartet

Dies sind die Ereignis-IDs, die ich beim Aufspüren eines Neustarts hilfreich fand:

Ereignis-ID 1074 (Quelle: USER32) ist "...hat den Neustart initiiert..."
Ereignis-ID 6005 (Quelle: EventLog) ist " Ereignisprotokolldienst wurde gestartet".
Ereignis-ID 6006 (Quelle: EventLog) ist " Ereignisprotokolldienst wurde gestoppt".
Ereignis-ID 7001 (Quelle: WinLogon) ist " Benutzeranmeldung".
Ereignis-ID 7002 (Quelle: WinLogon) ist "Benutzer Abmelden - ".

6005 ist ein guter Indikator, dass der Computer hochfährt / hochfährt.
6006 ist ein guter Indikator für den Neustart/Herunterfahren des Computers.


1074 ist das, was ich sehe, wenn etwas einen Neustart meines Systems ausgelöst hat (normalerweise ein Windows-Update).
Beispiel:

Der Prozess C:\Windows\CCM\CcmExec.exe (SomeComputerName) hat initiiert der Neustart des Computers SomeComputerName im Namen des Benutzers NT - AUTORITÄT\SYSTEM für die folgender Grund: Kein Titel aus diesem Grund gefunden werden konnte
Begründung: 0x80020001
Herunterfahren Typ: starten Sie
Anmerkung: Ihr computer wird neu gestartet am 01/07/2017 08:14:38 PM, um die installation von Anwendungen und software Sicherheitsaktualisierungen.

Online die Beschreibung für 1074 liest:

Dieses Ereignis wird geschrieben, wenn eine Anwendung bewirkt, dass das system neustart oder wenn der Benutzer einen Neustart oder Herunterfahren durch Klicken initiiert Start-oder drücken Sie STRG+ALT+ENTF, und klicken Sie dann auf Herunterfahren.

Mein Protokoll enthält eine Reihe von Informations-Ereignis-IDs für 7036, also habe ich mich entschieden, diese zu ignorieren (als Lärm).
Für das aktuelle Protokoll " filtern..." ausgestanzt habe dies in " Einschließen/Ausschließen der folgenden:

-7036,1074,6005,6006,7001,7002

Auf meiner Maschine sah ich das:

Eine Neustartbenachrichtigung ging um 18:14 Uhr aus (während ich weg war Abendessen).
Die Maschine hat mich um 20:15 Uhr abgemeldet.
Die Maschine wurde um 20:16 Uhr abgeschaltet.
Die Maschine wurde um 20:17 Uhr eingeschaltet (was auf einen warmen Neustart hinweist).
Als ich vom Abendessen und einem Film nach Hause kam, loggte ich mich um 20:59 Uhr wieder ein.

So wusste ich, dass es eine Richtlinie eingerichtet hatte, die mir nur eine 2-stündige Benachrichtigung für einen Neustart gab.
Ihre Gründe für einen Neustart können unterschiedlich sein, Also notieren Sie sich diese Zeiten und suchen Sie nach etwas, das zu dieser Zeit protokolliert wurde.

Nirsoft ' s freies Werkzeug, TurnedOnTimesView, zeigt Gründe.

Ereignisanzeige prüfen. Öffnen Sie Ihr Startmenü in der Taskleiste und geben Sie "Ereignisanzeige" (ohne Anführungszeichen) in das Feld "Programme und Dateien suchen" ein und drücken Sie die Eingabetaste. Wenn Sie die Ereignisanzeige geöffnet haben, klicken Sie auf der linken Seite auf den Pfeil von "Windows Logs". Sie werden Ihren Neustart höchstwahrscheinlich in "System"finden.

Die Antwort von MikeTeeVee ist bereits ein guter Ausgangspunkt, aber vielleicht möchten Sie auch einige der Kernel-Power-und Kernel-General-Ereignisse (12,13,89,109,41,42) einbeziehen.

Dies sind jeweils: Betriebssystemstart, Herunterfahren des Betriebssystems, Herunterfahren des Power Managers, Neustart ohne sauberes Herunterfahren, Ruhezustand des Systems, Ruhezustand fehlgeschlagen. Diese überschneiden sich sicherlich mit den bereits bereitgestellten Ereignis-IDs, können jedoch zusätzlichen Kontext hinzufügen, wenn benötigen.

Das kombinierte Include / Exclude-Ereignis-IDs-Feld:

-7036,1074,6005,6006,7001,7002,6008,12,13,109,41,42,43,1