关闭事件跟踪程序为 IT 专业人员提供一种始终如一地跟踪用户重新启动或关闭计算机的原因的方法。它不记录用户选择其他选项(如“注销”和“休眠”)的原因。而是收集用户提供的重新启动和关机的原因,以便帮助全面描述组织的系统环境。默认情况下,运行 Windows 7 的计算机,其关闭事件跟踪程序是禁用的。
“预期”和“意外”重新启动和关机
如果关闭事件跟踪程序是启用的,则在单击「开始」并再单击“关机”时,或者在桌面上按 Alt+F4 或按 Ctrl+Alt+Delete 并再单击“关机”或“重新启动”时,就会出现“预期”关机对话框。在关机过程中引入这一步骤,可提示您提供解释此操作的原因和注释。预期的重新启动或关机提供了完成其正常关机例程所需的操作系统时间。相比之下,计算机无法预期“意外”重新启动或关机。如果启用了关闭事件跟踪程序,则在重新启动或关机之后,第一个具有本地 Users 组成员身份的成员登录到该计算机时,就会出现意外关机对话框。像预期关机对话框一样,意外关机对话框也会提示此用户提供重新启动或关机的原因和注释。
已计划和未计划的重新启动和关机
预期的系统重新启动或关机可以是已计划的,也可以是未计划的。如果您可以控制重新启动或关机的时间,则此任务就是已计划的。例如,IT 部门可以预定安装新应用程序的具体时间。相比之下,未计划的重新启动或关机将强制您立即执行此任务。例如,一个没有反应的应用程序可能会突然强制您重新启动计算机。
意外重新启动或关机可以是已计划的,也可以是未计划的。例如,用户有时会选择按电源按钮而不是通过单击「开始」,然后单击“关机”,或者通过按 Ctrl+Alt+Delete,然后单击“关机”的方式来关闭其计算机。在这种情况下,关机对于计算机来说是意外的,而对于用户来说却是已计划的。但是,如果计算机的电源线意外断开,关机就既是意外的,又是未计划的。无论是哪种情况,第一个具有关机用户权限的用户在该事件发生之后登录到计算机时都会看到一个意外对话框。
本地和远程重新启动和关机
您可以使用关闭事件跟踪程序和 Shutdown.exe 命令行工具重新启动或关闭本地计算机以及一个或多个远程计算机。另外,IT 专业人员可以对意外关机执行远程批量批注,这种方法可取代耗时的登录到每个计算机记录意外关机原因的做法。
重新启动和关机的根本原因分析
关闭事件跟踪程序通过事件日志服务记录每次重新启动或关机的原因。您可以使用事件查看器打开系统日志并查看事件模式,从而找到使系统频繁重新启动和关机的原因。有关使用事件查看器的详细信息,请参阅