关于windows系统事件查看器的初步理解

在windows  系统事件查看器中，尤其是工控机领域，我们常常需要查看上位机软件的运行情况，比如软件和系统长时间无响应，软件被迫自动关闭等

故障描述：10月8号凌晨2点左右，现场维修人员反映某dake软件上的康耐视相机掉线

10月8号，早上，在工控机上通过win+R调用eventvmr.msc事件查看器或者直接在任务栏搜索中文，事件查看器

选择，windows日志的系统，我们看到ID为12的Kernel-General来源的事件

可以看到昨晚生产线的值班人员在凌晨对工控机进行了重启操作

dake软件需要调用视觉软件，视觉软件是直接使用海康mvs里面的dll或者康耐视的dll进行二次开发

也就是，在打开dakee软件之前，需要手动开启视觉软件

现场操作人员是否将打刻软件首先打开，是个问题，

否则，dake软件将显示相机 离线

1. 事件 ID 6009

   • 意义：系统启动通知。

   • 作用：在操作系统加载过程的早期，由系统内核记录。它标志着一次新的启动过程已经开始。事件描述中会包含当前启动的操作系统产品名称、版本和构建号。

   • 在您的情况下的解读：这个事件明确记录了10月8日凌晨2点的这次重启/开机行为。这是系统确认“一次新的启动发生了”的第一个明确信号。

2. 事件 ID 6005

   • 意义：事件日志服务已启动。

   • 作用：这表示“事件日志”服务本身成功启动。只有在这个服务启动后，系统才能开始正常地记录后续的事件到日志文件中。

   • 在您的情况下的解读：它紧跟着6009出现，表明在硬件和内核初始化之后，负责记录日志的系统服务已经就绪。从这一刻起，系统日志记录进入正常工作状态。

3. 事件 ID 6013

   • 意义：系统正常运行时间。

   • 作用：这个事件记录的是系统的运行时间，而不是启动时刻。它会在系统运行达到24小时的整数倍时（例如24小时、48小时...）记录一次。它的描述中会写明“系统运行时间为 X 秒”。

   • 在您的情况下的解读：您需要查看这个6013事件的描述。如果它在10月8日2点刚启动后就出现，并且显示运行时间只有几秒或几分钟，那么它记录的其实是上一次关机前系统的总运行时间。这个信息可以用来判断上次系统是否长时间稳定运行。

   • 事件 ID 153

     • 来源：Disk （磁盘）

     • 意义：磁盘或存储控制器在传输数据时遇到了延迟或错误。

     • 作用：这是一个警告级别的错误，通常与硬盘（HDD/SSD）、驱动程序、数据线或存储控制器有关。它不一定意味着磁盘立刻会损坏，但表明I/O操作花费了比预期更长的时间，是一个需要关注的潜在硬件问题信号。

     • 在您的情况下的解读：这是最关键的一个事件。在重启时间点附近出现磁盘错误，强烈暗示这次重启可能是由存储子系统的问题引起的。例如，系统在读取关键文件时因磁盘响应超时而导致蓝屏崩溃，然后自动重启。

4. 事件 ID 20

• 意义：磁盘传输错误。

• 作用：这表示操作系统在尝试从硬盘读取或向硬盘写入数据时，经历了一次失败，并且已经尝试过重试操作。这个错误是比153更明确的I/O失败信号。153是“花了太长时间”（延迟），而20是“尝试了但没成功”（错误）。

• 在您的情况下的解读：在153警告之后，系统并没有恢复，而是进一步发生了实际的读写失败。这表明磁盘或控制器已经无法正常完成数据请求。系统可能因此开始出现程序无响应、文件损坏或系统卡顿。  

事件 ID 25

• 意义：在写入操作期间，在磁盘上检测到损坏的块。

• 作用：这是一个非常关键且严重的错误。它意味着：

  1. 系统试图将数据写入磁盘的某个特定位置（扇区/块）。

  2. 在写入之后，为了验证数据是否正确，系统从该位置读取了数据。

  3. 读取出来的数据与试图写入的数据不一致，即数据在写入过程中损坏了。

• 在您的情况下的解读：这强烈指向物理硬件故障。最可能的原因是：

  • 硬盘坏块：磁盘表面的物理介质已经损坏，无法可靠地存储数据。

  • 硬盘固件或电子元件故障：控制写入过程的硬盘内部组件出现问题。

  • 不稳定的连接或电源（可能性稍低，但存在）：数据线或电源线接触不良，导致写入过程中的数据流损坏。