بررسی مشکلات مربوط به خاموشی و ریستارت ناخواسته در ویندوز
چرا سرور ویندوزی من خاموش شده است ؟
خاموشی سرور ویندوزی میتواند دلایل متعددی داشته باشد.این دلایل ممکن است شامل خطاهای نرمافزاری، بهروزرسانیهای خودکار، مشکلات مربوط به کمبود منابع یا حتی تنظیمات نادرست سیستم باشد.
در این مقاله، به بررسی دلایل خاموشی ناگهانی، Restart های غیرمنتظره و رخدادهای مرتبط با استارتاپ سرور با استفاده از ابزار Event Viewer ویندوز خواهیم پرداخت. این ابزار به ما کمک میکند تا به شکلی دقیق لاگهای سیستم را بررسی کرده و با تحلیل دادههای موجود، به علتهای اصلی مشکلات پی ببریم.
ابزار Event Viewer چیست ؟
Event Viewer ابزاری است که توسط Microsoft در سیستم عامل های ویندوز ارائه می شود.رخداد های سیستم عامل توسط Windows لاگ می شود.ابزار Event Viewer به ما کمک می کند که این گزارشات را به آسانی مدیریت و بررسی کنیم و امکاناتی مثل فیلتر کردن انواع رخداد با شناسه خاص و یا رخداد های مربوط به بخش خاصی را به ما ارائه می کند.
برای درک بهتر Event Viewer تصور کنید کامپیوتر شما مثل یک فرودگاه شلوغ است که هواپیماها مدام در حال برخاستن و فرود هستند. Event Viewer مانند مرکز کنترل هوایی هستش که بر همه پروازها نظارت میکند تا همه چیز به خوبی پیش برود. هر ورودی در لاگها مثل یک گزارش پرواز است – بعضی هواپیماها بدون مشکل پرواز میکنند (information logs)، برخی ممکن است دچار تأخیر یا تلاطم شوند (warning logs)، و گاهی اوقات یک فرود اضطراری رخ میدهد (error logs). همانطور که کنترلکنندگان برج مراقبت به این گزارشها برای اطمینان از عملیات ایمن و کارآمد اعتماد میکنند، مدیران سیستم نیز از Event Viewer استفاده میکنند تا سلامت سیستم را رصد کرده و از وقوع مشکلات احتمالی جلوگیری کنند.
نحوه ورود به Event Viewer
برای ورود به Event Viewer می توانید ابتدا با استفاده از کلید های ترکیبی Windows + R محیط Run را باز کنید.سپس در آن عبارت Eventvwr را وارد کرده و OK را بزنید.
در مرحله بعدی برای اینکه به گزارش رخداد های مربوط به خاموشی دسترسی داشته باشیم لازمه بخش خاصی از Event Viewer را بررسی کنیم.در ابتدا از منو سمت چپ گزینه Windows Logs را انتخاب می کنیم.سپس وارد بخش System می شویم.
در ادامه می توانیم از منو سمت راست و کلیک بر روی گزینه Filter Current Log و قرار دادن شناسه های موردنظر در بخش Event ID رخداد های موردنظر را بررسی کنیم.
پس از کلیک کردن روی OK می توانیم لاگ هایی که با شناسه های مورد نظر ما هستش را مشاهده کنیم.با کلیک روی هرکدام از آنها ، می توان در پائین صفحه و در بخش General جزئیات آن را مشاهده کرد.
شناسه Event های مربوط به خاموشی و Restart
رخداد هایی با شناسه 41 : این لاگ نشان می دهد که سرور شما بدون خاموش شدن صحیح Restart شده ، برای مثال اگر سرور خود را مثل یک کامپیوتر شخصی فرض کنید این لاگ نشان می دهد که برق آن قطع شده است.در سرور یکی از علت های مشاهده این لاگ می تواند به دلیل crash کردن سیستم عامل باشد.
رخداد هایی با شناسه 6005 : این شناسه مربوط به روشن شدن سرویس Event Log است که پس از روشن شدن سیستم عامل رخ می دهد.
رخداد هایی با شناسه 1074 : یکی از مهم ترین موارد رخداد هایی با شناسه 1074 هستش.سرور شما هنگامی این لاگ را ذخیره می کند که یک User و یا یک اپلیکیشن درخواست Shutdown و یا Restart شدن را در سیستم عامل اجرا می کند.همچنین جزئیات این لاگ به شما در پیدا کردن منبع درخواست هم کمک می کند. برای مثال نمونه زیر را بررسی کنید :
The process C:\Windows\System32\RuntimeBroker.exe has initiated the power off of computer WIN-TEST on behalf of user WIN-TEST\Administrator for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: power off
این گزارش ، جزئیات یک رخداد با شناسه 1074 است.در این نمونه می توانیم ببینیم که درخواست Shutdown توسط کاربر Administrator روی سرور اجرا شده است.همچنین با توجه به اینکه هنگام Shutdown و یا Restart در ویندوز سرور علت آن از کاربر پرسیده می شود ؛ این کاربر گزینه Unplanned را انتخاب کرده ؛ در بخش Shutdown Type هم مشخص شده است که درخواست موردنظر Restart و یا Shutdown بوده است.
رخداد هایی با شناسه 6006 : این شناسه مربوط به خاموش شدن صحیح سرور شما هستش.
رخداد هایی با شناسه 6008 : وقتی که یک لاگ با این شناسه را در Event Viewer مشاهده کنید یعنی سرور شما غیرمنتظره یا در یک شرایط غیرعادی خاموش شده است.معمولا این مورد را بعد از لاگ هایی با شناسه 41 که پیش تر در خصوص آن توضیح داده شد مشاهده خواهیم کرد.
رخداد هایی با شناسه 1076 : زمانی که پس از یک خاموشی غیرمنتظره یا غیرعادی ، یک کاربر با دسترسی Administrator وارد سرور شود ؛ سیستم عامل از او یک سوال می پرسد که علت خاموشی قبلی را مشخص کند.سپس پاسخ سوال در لاگ ها با شناسه 1076 ذخیره می شوند تا در آینده قابل بررسی باشد. نمونه :
The reason supplied by user WIN-TEST\Administrator for the last unexpected shutdown of this computer is: Other (Unplanned)
مشاهده رخداد ها در PowerShell
برای اینکه بتوانیم سریعتر به لاگها، بهویژه لاگهای مربوط به خاموشی سرور دسترسی پیدا کنیم، میتوانیم از PowerShell هم استفاده کنیم. این ابزار به ما اجازه میدهد تا با اجرای دستورات خاص، به صورت مستقیم و سریع به گزارشهای سیستم دسترسی داشته باشیم. به عنوان مثال، با استفاده از دستور Get-WinEvent میتوانیم لاگهای موردنظر را بدون نیاز به باز کردن Event Viewer مشاهده و بررسی کنیم. در دستور زیر آخرین رخداد ها با شناسه های 1074 ، 1076 ، 41 و 6008 نمایش داده می شود :
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,41,6008,1076} | Format-List
هنگامی که از این دستور استفاده کنیم ، هر رخداد همراه با جزئیات آن را به ما نمایش می دهد.جزئیاتی که در Event Viewer در بخش General به ما نمایش داده میشد در اینجا در بخش Message نمایش داده می شود.
بررسی برخی از علت های خاموشی
آپدیت ویندوز : یکی از علت های متداول Restart شدن سرور های ویندوزی آپدیت ویندوز هستش.بصورت پیشفرض آپدیت خودکار در سیستم عامل فعال است و این آپدیت بصورت خودکار دانلود می شود.سپس سیستم عامل یک زمان که سرور فعالیت کمتری داشته باشد را با بررسی زمان ورود و خروج شما مشخص می کند و آپدیت را برنامه ریزی می کند.در ادامه در زمان مشخص آپدیت را انجام می دهد و معمولا منجر به Restart شدن سرور می شود.این مورد را می توانیم همانطور که در بخش قبلی توضیح داده شد در رخداد هایی با شناسه 1074 بررسی کنیم.که در این موارد جزئیات لاگ مشاهده شده به شکل زیر خواهد بود :
The process C:\Windows\system32\svchost.exe (WIN-TEST) has initiated the restart of computer WIN-TEST on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
در این نمونه می توانیم ببینیم که درخواست Restart توسط SYSTEM روی سرور اجرا شده است.همچنین علت آن Service pack توسط سیستم عامل و برنامه ریزی شده بوده است. در بخش Shutdown Type هم مشخص شده است که درخواست موردنظر Restart و یا Shutdown بوده است.با بررسی Reason Code هم متوجه می شویم که کد 0x80020010 مربوط به آپدیت برنامه ریزی شده است.
خطای سیستم عامل در پی مشکل منابع یا نرم افزار : ممکن است بدلیل اینکه یکی از نرم افزار هایی که در حال اجرا روی سرور هستش منابع بسیار زیادی مصرف کند و یا مشکلی در ساختار هسته سیستم عامل ایجاد کند ؛ سرور شما با خطا روبرو شود و به اجبار Restart انجام دهد تا از ایجاد مشکل های بیشتر جلوگیری کند.در این موارد به احتمال زیاد خطا هایی با شناسه 41 را مشاهده خواهید کرد.در این صورت نیاز است نرم افزار های در حال اجرا و منابع مصرف شده توسط آن ها را بررسی کنید.
اشتباهات عملیاتی : گاهی اوقات نیز خطاهای انسانی مانند کلیک تصادفی روی گزینه خاموش شدن در هنگام ارتباط با سرور باعث خاموشی سرور شود.اجرای دستورات اشتباه در خط فرمان یا PowerShell نیز میتواند باعث اختلال در عملکرد سیستم و در نهایت خاموشی آن شود. به ویژه دستوراتی که به طور مستقیم با مدیریت سیستم در ارتباط هستند، باید با دقت فراوان اجرا شوند.همچنین تغییر برخی از تنظیمات حیاتی سیستم مانند تنظیمات رجیستری یا تنظیمات سرویسها میتواند باعث بروز مشکلات جدی و خاموشی سرور شود.
عوامل دیگر : در نهایت ممکن است عواملی خارج از کنترل ما، مانند نوسانات زیرساختهای شبکه یا مشکلات فنی در مراکز داده، بر عملکرد سرور تأثیر گذاشته باشد.احتمال وقوع این نوع از مشکلات بسیار ناچیز است.در این موارد می توانید همراه با مستندات لاگ های موجود درخواست خود را بصورت یک تیکت ارسال کنید تا توسط همکاران ما در بخش پشتیبانی فنی بررسی شود.
جمع بندی :
خاموشی سرور ویندوزی میتواند ناشی از عوامل مختلفی باشد، از خطاهای نرمافزاری و بهروزرسانیهای خودکار گرفته تا تنظیمات نادرست. همانطور که در این مقاله بررسی کردیم، استفاده از ابزار Event Viewer ویندوز به ما این امکان را میدهد تا لاگها و گزارشهای دقیقی از رخدادهای سیستم مشاهده کرده و با تحلیل آنها به علتهای اصلی خاموشی، Restart یا مشکلات مربوط به سرور پی ببریم.
امیدواریم این مقاله به شما کمک کرده باشد تا بتوانید علت خاموشی سرور ویندوزی خود را به شکلی دقیقتر بررسی و شناسایی کرده و با استفاده از راهکارهای مناسب، مشکلات پیش آمده را رفع نمایید. مدیریت صحیح و پیشگیری از وقوع خاموشیهای ناگهانی، نقش مهمی در بهبود عملکرد و پایداری سرویسهای حیاتی شما خواهد داشت.
سوالات متداول :
چگونه میتوان علت خاموشی غیرمنتظره سرور را بررسی کرد؟ با استفاده از Event Viewer و بررسی لاگها با شناسه هایی مانند 41، 6008، و 1076 میتوانید علت خاموشی غیرمنتظره را شناسایی کرده و اقدامات لازم را برای جلوگیری از مشکلات آتی انجام دهید.
Event Viewer چیست و چه کاربردی دارد؟ Event Viewer ابزاری است که توسط Microsoft در سیستمعاملهای ویندوز ارائه میشود تا رخدادهای سیستم را لاگ و مدیریت کند. این ابزار به مدیران سیستم کمک میکند تا سلامت سیستم را رصد کرده و از مشکلات احتمالی جلوگیری کنند.
چگونه میتوان به Event Viewer دسترسی پیدا کرد؟ برای دسترسی به Event Viewer، ابتدا با استفاده از کلیدهای ترکیبی Windows + R محیط Run را باز کرده و سپس عبارت Eventvwr را وارد کرده و OK را بزنید.
رخدادهای با شناسه 41 و 1074 به چه معنا هستند؟ رخداد با شناسه 41 نشان میدهد که سیستم بدون خاموشی صحیح Restart شده، مانند بروز مشکلی در هسته سیستم عامل. رخداد با شناسه 1074 نشاندهنده درخواست Shutdown یا Restart توسط کاربر یا اپلیکیشن است و اطلاعات بیشتری درباره منبع درخواست ارائه میدهد.