Как посмотреть логи почему выключился компьютер

Содержание статьи

Неожиданное выключение компьютера может быть связано с перегревом, сбоями питания, ошибками драйверов или повреждением системных файлов. Чтобы определить точную причину, не нужно устанавливать дополнительное ПО – достаточно проанализировать логи Windows, где фиксируется каждая сессия работы системы.

Основные сведения о выключениях и сбоях сохраняются в журнале событий Windows. В нём можно найти записи о корректных завершениях работы, критических ошибках ядра, перегрузках после зависания, а также о проблемах с питанием. Эти данные позволяют отличить обычное завершение работы от аварийного отключения.

Для анализа подойдёт встроенная утилита Просмотр событий, которая даёт доступ к системным логам. Через фильтрацию по типу события и источнику (например, Kernel-Power, EventLog, BugCheck) можно быстро выяснить, что именно вызвало отключение компьютера. Такой подход помогает не только устранить причину, но и предотвратить повторение проблемы.

Где находятся логи с информацией о выключении компьютера в Windows

Все данные о выключениях, сбоях и перезапусках сохраняются в системных журналах Windows. Основной источник информации – Просмотр событий (Event Viewer), где фиксируются все системные операции, включая ошибки питания и критические события ядра.

Чтобы открыть журнал:

Нажмите Win + R и введите eventvwr.msc.
В левой панели выберите раздел Журналы Windows → Система.
Откройте список событий и перейдите к записям с источниками Kernel-Power, EventLog, USER32 или BugCheck.

Физически логи хранятся в каталоге:

C:\Windows\System32\winevt\Logs\System.evtx – системные события, включая выключения;
C:\Windows\System32\winevt\Logs\Application.evtx – приложения, которые могли вызвать сбой;
C:\Windows\System32\winevt\Logs\Security.evtx – записи, связанные с доступом пользователей и завершением сессий.

Эти файлы можно копировать и открывать на другом компьютере через тот же Просмотр событий. Для анализа вне Windows удобно использовать утилиты wevtutil или сторонние программы, например FullEventLogView от NirSoft, которые позволяют быстро искать события по коду или дате выключения.

Как открыть Просмотр событий и перейти к журналу системы

Просмотр событий – стандартный инструмент Windows для анализа системных логов, включая записи о выключении и сбоях питания. Он устанавливается вместе с системой и не требует дополнительных компонентов.

Чтобы открыть Просмотр событий, выполните одно из действий:

Нажмите Win + R, введите eventvwr.msc и подтвердите клавишей Enter;
Через меню Пуск введите «Просмотр событий» и запустите найденное приложение;
Через Панель управления → Администрирование → Просмотр событий.

После запуска откроется окно с древовидной структурой журналов. Для анализа выключений необходимо перейти по пути:

Журналы Windows → Система

В этом разделе содержатся записи обо всех изменениях состояния системы, включая выключения, перезапуски, сбои и ошибки оборудования. Для удобства можно отсортировать события по уровню важности или дате, выбрав соответствующие столбцы в верхней панели.

Чтобы быстро найти нужные записи, используйте пункт Действия → Фильтровать текущий журнал и задайте поиск по ключевым словам, например Kernel-Power или Event ID 41. Это позволит сосредоточиться только на событиях, связанных с непредвиденным выключением компьютера.

Какие события в журнале указывают на выключение или сбой питания

Журнал системы фиксирует каждое выключение и перезапуск компьютера с указанием источника и кода события. По этим данным можно определить, произошло ли корректное завершение работы или аварийное отключение питания.

Основные типы событий, указывающих на выключение или сбой, приведены в таблице:

Источник	Идентификатор события (Event ID)	Описание
Kernel-Power	41	Система перезапущена без корректного завершения. Возможные причины – сбой питания, зависание, перегрев или аппаратная ошибка.
EventLog	6006	Корректное завершение работы службы журнала событий. Такое событие фиксируется при обычном выключении компьютера.
EventLog	6008	Неожиданное завершение работы. Появляется при отключении питания или зависании без корректного выключения.
USER32	1074	Выключение или перезагрузка, инициированные пользователем или системой (например, через Центр обновления).
Kernel-General	13	Информация о смене состояния питания. Может указывать на переход в спящий режим или выход из него.

Для анализа рекомендуется начинать с событий Kernel-Power 41 и EventLog 6008 – они фиксируют непредвиденные выключения. Дальнейшее сравнение с записями USER32 1074 и EventLog 6006 помогает определить, было ли выключение запланированным или вызвано ошибкой оборудования.

Как расшифровать коды событий и понять причину выключения

Каждое событие в журнале системы Windows имеет свой идентификатор (Event ID), по которому можно определить источник проблемы. Для анализа важно учитывать не только номер события, но и его контекст – дату, время и последовательность записей перед выключением.

Event ID 41 (Kernel-Power) означает, что компьютер был перезагружен без корректного завершения. Такое событие часто указывает на сбой питания, перегрев, неисправный блок питания или ошибку драйвера, вызвавшую зависание системы.

Event ID 6008 (EventLog) фиксирует факт неожиданного выключения. Если рядом присутствует событие 41, причина, скорее всего, аппаратная. При его отсутствии стоит проверить программные ошибки или обновления, установленные перед отключением.

Event ID 1074 (USER32) появляется при запланированном выключении, перезагрузке или обновлении. В описании указывается инициатор действия – пользователь, служба или процесс Windows Update. Это помогает исключить ложные подозрения на сбой.

Event ID 6006 (EventLog) сообщает о корректном завершении работы службы журнала событий. Наличие этой записи после других ошибок означает, что система завершила работу штатно.

Для точной расшифровки анализируйте последовательность событий: 41 и 6008 – первые признаки непредвиденного сбоя, 1074 и 6006 – нормальное завершение работы. Сопоставление временных меток помогает определить, что происходило перед выключением: перегрузка процессора, критическая ошибка драйвера, отключение электропитания или ручная перезагрузка.

Как отфильтровать только события выключения для удобного анализа

Журнал системы содержит тысячи записей, поэтому для поиска причин выключения нужно отфильтровать только нужные события. Это ускоряет анализ и позволяет сосредоточиться на ошибках, связанных с питанием и завершением работы.

Чтобы настроить фильтр в Просмотре событий:

Откройте раздел Журналы Windows → Система.
В правой панели выберите Фильтровать текущий журнал.
В поле Идентификаторы событий укажите: 41, 1074, 6006, 6008.
При необходимости задайте диапазон времени, например последние 7 дней.
Подтвердите действие кнопкой ОК.

После применения фильтра в списке останутся только записи, связанные с выключением и перезапуском. Для сохранения выборки выберите Действия → Сохранить отфильтрованный журнал как… и сохраните его в формате .evtx.

Альтернативный способ – использование Custom Views (Пользовательские представления). Через меню Создать пользовательский вид можно задать те же идентификаторы событий и сохранить фильтр под собственным именем, чтобы быстро открывать его при следующих проверках.

При необходимости фильтрацию можно выполнить через командную строку:

wevtutil qe System "/q:*[System[(EventID=41 or EventID=6008 or EventID=1074 or EventID=6006)]]" /f:text

Команда выведет только события, связанные с выключением, в текстовом формате, что удобно для экспорта в отчёт или анализа без графического интерфейса.

Как сохранить и экспортировать журнал событий для проверки

Сохранение журнала событий позволяет анализировать выключения на другом компьютере или архивировать данные для дальнейшей проверки. Windows поддерживает экспорт логов в собственный формат .evtx и в текстовые форматы.

Для сохранения через Просмотр событий выполните действия:

Откройте Журналы Windows → Система.
Примените фильтр событий, если нужно сохранить только записи о выключениях.
В правой панели выберите Сохранить все события как….
Выберите формат файла: .evtx для последующего открытия в Просмотре событий или .txt / .csv для анализа в таблицах и текстовых редакторах.
Укажите имя файла и путь для сохранения, затем нажмите Сохранить.

Альтернативный способ – использование командной строки:

wevtutil epl System "C:\Logs\SystemBackup.evtx"

wevtutil qe System "/q:*[System[(EventID=41 or EventID=6008 or EventID=1074 or EventID=6006)]]" /f:text > C:\Logs\FilteredEvents.txt

Экспортированные файлы .evtx можно открыть на другом ПК через Просмотр событий, сохранив всю структуру и возможность фильтрации. Текстовые файлы подходят для анализа в Excel, Notepad++ или других инструментах обработки данных.

Какие сторонние утилиты помогают анализировать причины выключения ПК

Помимо встроенного Просмотра событий, существуют утилиты, которые упрощают анализ причин выключений и аварийных перезагрузок, предоставляя наглядные отчёты и фильтры.

BlueScreenView – анализирует дампы памяти после синих экранов. Показывает драйверы, вызвавшие сбой, и коды ошибок, упрощая диагностику аппаратных и программных проблем.
WhoCrashed – строит отчёты на основе системных дампов и журналов. Определяет возможные причины аварийного завершения работы и предоставляет рекомендации по исправлению.
Event Log Explorer – расширенный просмотрщик журналов с возможностью создания пользовательских фильтров, поиска по ключевым словам и группировки событий. Удобен при анализе нескольких ПК одновременно.
WinCrashReport – утилита для автоматического сбора информации о сбоях и выключениях. Формирует отчёты с деталями ошибок драйверов, процессов и состояния системы в момент сбоя.

Для точного анализа рекомендуется сочетать встроенные средства Windows с одной из сторонних программ. Это позволяет быстрее выявлять причину отключений, сопоставлять события с дампами памяти и формировать отчёты для дальнейшей диагностики или передачи специалисту.

Вопрос-ответ:

Где в Windows можно найти логи, которые показывают причины выключения компьютера?

Основные логи находятся в разделе Журналы Windows → Система через Просмотр событий. В них фиксируются все события, связанные с питанием, перезагрузками, зависаниями и сбоями драйверов. Файлы физически хранятся по пути C:\Windows\System32\winevt\Logs\System.evtx. Для удобства анализа можно фильтровать записи по источникам Kernel-Power, EventLog и USER32.

Как понять, что выключение компьютера произошло из-за сбоя питания, а не по плану?

Непредвиденное отключение отображается в журнале с идентификаторами событий Kernel-Power 41 и EventLog 6008. Записи 1074 и 6006 фиксируют корректное завершение работы. Если события 41 или 6008 появляются без 1074, это указывает на внезапное отключение питания, зависание системы или сбой драйвера.

Можно ли экспортировать системные логи для анализа на другом компьютере?

Да. Через Просмотр событий выберите Система и используйте Сохранить все события как…, выбрав формат .evtx. Эти файлы можно открыть на любом ПК через Просмотр событий, сохранив структуру и возможность фильтрации. Для текстового анализа подходит экспорт в .txt или .csv, что удобно для работы с таблицами и сторонними программами.

Какие утилиты помогают быстрее выявлять причины выключений и сбоев системы?

Помимо стандартного Просмотра событий, можно использовать сторонние инструменты: BlueScreenView для анализа дампов после синих экранов, WhoCrashed для построения отчётов о сбоях, FullEventLogView и Event Log Explorer для фильтрации и группировки событий. Эти программы позволяют сразу увидеть драйверы и процессы, вызвавшие отключение, без ручного поиска по тысячам записей журнала.