一、Windows系统
1. 系统日志位置
Windows的系统日志统一存储在事件查看器中,路径为:
通过快捷键 `Win + R` 输入 `eventvwr.msc` 进入事件查看器,或在开始菜单搜索“事件查看器”打开。
导航至 Windows日志 → 系统,这里记录了所有系统事件,包括硬件、软件和系统服务的运行状态。
2. 查看重启日志
在事件查看器中筛选以下事件ID,定位重启相关记录:
6005:系统正常启动的日志。
6006:系统正常关机(若重启前未正常关机,可能无此记录)。
6008:意外关机(如断电、系统崩溃)。
1074:用户或程序触发的重启/关机事件,包含具体原因(如系统更新、用户操作)。
41:系统未正常关机后重启的记录。
操作步骤:
1. 在事件查看器的“系统”日志中,点击右侧“筛选当前日志”。
2. 输入事件ID(如 `1074,6005,6006,41`),按时间排序即可查看具体重启时间和原因。
3. 其他工具
PowerShell命令:快速获取最后一次重启原因:
powershell
Get-WinEvent -LogName System -FilterHashTable @{ID=6005,6006,6008} | Sort-Object -Descending TimeCreated -First 1
命令行:运行 `net statistics workstation` 查看开机时间统计。
二、Linux系统
1. 系统日志位置
Linux系统日志默认存储在 /var/log 目录下,常见日志文件包括:
/var/log/messages 或 /var/log/syslog:综合系统消息(内核、服务等)。
/var/log/boot.log:系统启动日志。
/var/log/dmesg:内核启动时的硬件检测信息。
/var/log/auth.log(或 secure):用户登录及安全事件。
2. 查看重启日志
使用 `journalctl` 命令:
bash
journalctl -b 查看当前启动日志
journalctl -k 查看内核日志(类似dmesg)
查看特定文件:
/var/log/boot.log:记录系统启动过程。
/var/log/wtmp:历史登录记录(通过 `last` 命令查看)。
/var/log/utmp:当前登录用户信息。
三、常见应用日志
Nginx/Apache:`/var/log/nginx/access.log` 或 `/var/log/apache2/error.log`。
MySQL:`/var/log/mysql/error.log`。
邮件服务:`/var/log/mail.log`。
总结
Windows:通过事件查看器筛选事件ID,快速定位重启原因。
Linux:在 `/var/log` 目录下查找特定日志文件,或使用 `journalctl` 工具。
如需更详细的操作(如日志导出或权限设置),可参考来源链接。
