Step1: 打開windows的「事件檢視器」,開啟「建立自訂檢視…」視窗,在「事件記錄檔」選項,將「Windows 紀錄」內勾選「系統」選項。
Step2: 內含/排除事件識別碼:」排除事件識別碼打「6005,6006,6008」,再按確定。
Windows事件 ID 代表...
● 事件 ID 6005:“事件日誌服務已啟動。” 正常開機
● 事件 ID 6006:“事件日誌服務已停止。” 正常關機
● 事件 ID 6008:“上一次系統關閉意外。”不正常關機後開機
結論: 若單純從字面上"事件日誌服務已啟動",是很難直接聯想這是開機。只能轉換思考角度尋找替代方案,系統並沒有為開關機,額外特別去寫紀錄,只是單純開機後,這個事件日誌服務開啟紀錄,來代替開機,而服務停止當作關機。
沒有留言:
張貼留言