Windows 11/10: Herunterfahr- & Neustartprotokolle lesen – So geht’s

Herunterfahr- und Neustartprotokolle in Windows 11/10 lesen: So analysieren Sie mit Ereignisanzeige und PowerShell die Ursachen von Abstürzen und Fehlern.

Wer wissen möchte, wann und warum Windows heruntergefahren oder neu gestartet wurde, findet alle Antworten in der integrierten Ereignisanzeige. Dort protokolliert Windows jeden Start, jeden Shutdown und jeden unerwarteten Absturz mit präzisem Zeitstempel.

Dieser Artikel zeigt, wie Sie die relevanten Protokolleinträge in Windows 10 und Windows 11 gezielt finden, lesen und auswerten – ganz ohne Drittanbieter-Software.

Was sind Herunterfahr- und Neustartprotokolle in Windows?

Windows speichert nahezu jede Systemaktivität in sogenannten Ereignisprotokollen. Dabei handelt es sich um strukturierte Logdateien, die das Betriebssystem automatisch befüllt. Zudem unterscheidet Windows dabei verschiedene Kategorien: Anwendungs-, Sicherheits- und Systemereignisse. Besonders relevant für das Thema Herunterfahr- und Neustartverhalten ist das Systemprotokoll, da es alle Ereignisse rund um den Betriebssystemstart und das Herunterfahren erfasst.

Jeder Protokolleintrag enthält eine Ereignis-ID – eine eindeutige Nummer, die die Art des Ereignisses beschreibt. Außerdem sind Datum, Uhrzeit, Quelle und eine Beschreibung enthalten. Für Herunterfahr- und Neustartereignisse sind insbesondere folgende Ereignis-IDs entscheidend:

• Ereignis-ID 6005 – Der Ereignisprotokoll-Dienst wurde gestartet (entspricht dem Systemstart)
• Ereignis-ID 6006 – Der Dienst wurde gestoppt (entspricht einem sauberen Herunterfahren)
• Ereignis-ID 6008 – Das System wurde unerwartet heruntergefahren (z. B. nach Stromausfall oder Absturz)
• Ereignis-ID 1074 – Eine Anwendung oder ein Benutzer hat den Neustart oder das Herunterfahren eingeleitet
• Ereignis-ID 41 – Das System wurde neu gestartet, ohne ordnungsgemäß heruntergefahren zu werden (z. B. nach einem Bluescreenfehler)

Das Verständnis dieser IDs ist die Grundlage dafür, Probleme wie unerwartete Abstürze, automatische Neustarts durch Windows Update oder unautorisierte Abschaltvorgänge nachzuvollziehen.

Methode 1: Ereignisanzeige – der direkte Weg

Die Ereignisanzeige (englisch: Event Viewer) ist das zentrale Werkzeug in Windows 10 und Windows 11, um Systemprotokolle einzusehen. Deshalb empfiehlt es sich, diese Methode als ersten Einstieg zu nutzen.

Schritt 1: Ereignisanzeige öffnen

Es gibt mehrere Wege, die Ereignisanzeige zu starten:

Weg 1 – Tastenkombination und Ausführen-Dialog:

1. Drücken Sie gleichzeitig Windows + R.
2. Geben Sie eventvwr.msc ein.
3. Bestätigen Sie mit Enter oder klicken Sie auf „OK“.

Weg 2 – Rechtsklick auf das Startmenü:

1. Klicken Sie mit der rechten Maustaste auf das Windows-Logo in der Taskleiste.
2. Wählen Sie im Kontextmenü „Ereignisanzeige“ aus.

Weg 3 – Suche im Startmenü:

1. Öffnen Sie das Startmenü und tippen Sie „Ereignisanzeige„.
2. Klicken Sie auf den angezeigten Treffer.

Schritt 2: Zum Systemprotokoll navigieren

Sobald die Ereignisanzeige geöffnet ist, sehen Sie links eine Baumstruktur. Folgen Sie diesem Pfad:

1. Klicken Sie links auf „Windows-Protokolle“.
2. Wählen Sie darunter „System“ aus.

Im mittleren Bereich erscheint jetzt eine lange Liste aller Systemereignisse. Allerdings enthält das Systemprotokoll Tausende von Einträgen, weshalb ein gezielter Filter unbedingt empfohlen wird.

Schritt 3: Protokoll nach Ereignis-IDs filtern

Um ausschließlich Herunterfahr- und Neustartereignisse anzuzeigen, gehen Sie folgendermaßen vor:

1. Klicken Sie im rechten Bereich auf „Aktuelles Protokoll filtern“.
2. Es öffnet sich ein Dialogfenster. Geben Sie im Feld „Ereignis-IDs“ folgende Nummern ein:
   41, 1074, 6005, 6006, 6008
3. Bestätigen Sie mit „OK“.

Windows zeigt jetzt ausschließlich die relevanten Einträge an. Zusätzlich können Sie die Spalten nach Datum und Uhrzeit sortieren, um den zeitlichen Verlauf leichter zu erkennen.

Schritt 4: Einzelne Ereignisse lesen und auswerten

Doppelklicken Sie auf einen Eintrag in der Liste, um die vollständigen Details zu öffnen. Dabei sehen Sie folgende Informationen:

• Datum und Uhrzeit – exakter Zeitstempel des Ereignisses
• Quelle – z. B. „Kernel-Power“ oder „EventLog“
• Ereignis-ID – die Art des Vorgangs
• Beschreibung – ein erläuternder Text, der häufig Benutzername, auslösenden Prozess und Grund enthält

Besonders bei Ereignis-ID 1074 liefert die Beschreibung wertvolle Details: Dort steht, welche Anwendung (z. B. Windows Update oder shutdown.exe) den Vorgang eingeleitet hat, welcher Benutzer beteiligt war und welcher Grundcode übergeben wurde.

Methode 2: Benutzerdefinierte Ansicht erstellen – dauerhafter Filter

Wer regelmäßig Herunterfahr- und Neustartprotokolle prüfen möchte, sollte eine benutzerdefinierte Ansicht erstellen. Diese bleibt gespeichert und ist jederzeit mit einem Klick abrufbar.

Schritt-für-Schritt-Anleitung

1. Öffnen Sie die Ereignisanzeige (wie oben beschrieben).
2. Klicken Sie im linken Bereich mit der rechten Maustaste auf „Benutzerdefinierte Ansichten“.
3. Wählen Sie „Benutzerdefinierte Ansicht erstellen“.
4. Wählen Sie im Reiter „Filter“ unter „Protokolliert“ den gewünschten Zeitraum (z. B. „Letzte 7 Tage“).
5. Wählen Sie unter „Ereignisprotokoll“ die Option „Windows-Protokolle > System“.
6. Geben Sie im Feld „Ereignis-IDs“ folgende Nummern ein: 41, 1074, 6005, 6006, 6008
7. Klicken Sie auf „OK“, vergeben Sie einen aussagekräftigen Namen (z. B. „Shutdown-Verlauf“) und bestätigen Sie erneut mit „OK“.

Fortan erscheint diese Ansicht dauerhaft im linken Bereich unter „Benutzerdefinierte Ansichten“. Außerdem lässt sie sich jederzeit aktualisieren, ohne die Filter erneut eingeben zu müssen.

Methode 3: PowerShell – schnelle Auswertung per Befehl

Für Benutzer, die lieber mit der Kommandozeile arbeiten oder mehrere PCs im Blick haben, bietet Windows PowerShell eine besonders effiziente Möglichkeit. Deshalb eignet sich diese Methode auch für automatisierte Abfragen oder Skripte.

Methode 3a: Get-WinEvent (empfohlen für Windows 10/11)

1. Öffnen Sie das Startmenü und suchen Sie nach „PowerShell“.
2. Klicken Sie mit der rechten Maustaste auf „Windows PowerShell“ und wählen Sie „Als Administrator ausführen“.
3. Geben Sie folgenden Befehl ein und drücken Sie Enter:

Get-WinEvent -FilterHashtable @{LogName = 'System'; Id = 41, 1074, 6005, 6006, 6008} | Format-List Id, LevelDisplayName, TimeCreated, Message

Dieser Befehl zeigt alle relevanten Ereignisse aus dem Systemprotokoll an, einschließlich Ereignis-ID, Schweregrad, genauen Zeitstempel und Beschreibungstext. Zudem lässt sich die Ausgabe einfach weiterverarbeiten oder in eine Datei umleiten.

Methode 3b: Get-EventLog (alternativ, älterer Stil)

Ebenso funktioniert der folgende Befehl, der die letzten 10.000 Einträge durchsucht:

Get-EventLog System -Newest 10000 | Where-Object {$_.EventId -in 41,1074,6005,6006,6008} | Format-Table TimeGenerated, EventId, UserName, Message -AutoSize -Wrap

Hinweis: Get-EventLog gilt in neueren PowerShell-Versionen als veraltet. Deshalb empfiehlt sich Get-WinEvent als zukunftssichere Alternative.

Methode 3c: Nur Ereignis-ID 1074 abrufen (wer hat den PC neu gestartet?)

Um gezielt herauszufinden, welcher Benutzer oder welche Anwendung einen Neustart ausgelöst hat, genügt dieser Befehl:

Get-WinEvent -FilterHashtable @{LogName = 'System'; Id = 1074} | Format-List TimeCreated, Message

Die Ausgabe zeigt beispielsweise: „Der Prozess C:\Windows\System32\shutdown.exe hat den Neustart eingeleitet – Benutzer: DOMAIN\Benutzername – Grund: Windows Update.“

Methode 4: Eingabeaufforderung (CMD) – wevtutil-Befehl

Alternativ zur PowerShell steht auch die klassische Eingabeaufforderung mit dem Werkzeug wevtutil zur Verfügung. Diese Methode funktioniert ebenso in Windows 10 und Windows 11.

Schritt-für-Schritt-Anleitung

1. Öffnen Sie das Startmenü, suchen Sie nach „cmd“ und wählen Sie „Als Administrator ausführen“.
2. Geben Sie folgenden Befehl ein:

wevtutil qe System /q:"*]" /f:text /rd:true /c:50

Erklärung der Parameter:

• /q: – Filter-Abfrage (welche Ereignis-IDs)
• /f:text – Ausgabe im Textformat
• /rd:true – neueste Einträge zuerst
• /c:50 – maximal 50 Einträge anzeigen

Zusätzlich kann die Ausgabe direkt in eine Textdatei gespeichert werden, indem Sie am Ende des Befehls > C:\shutdown-log.txt anhängen.

Die wichtigsten Ereignis-IDs im Detail

Das Verständnis der einzelnen Ereignis-IDs hilft dabei, Protokolleinträge richtig zu interpretieren. Deshalb folgt hier eine übersichtliche Erläuterung der relevantesten Codes:

Ereignis-ID 6005 – Systemstart

Diese Ereignis-ID zeigt an, dass der Ereignisprotokoll-Dienst gestartet wurde – was dem Systemstart entspricht. Anhand dieser ID lässt sich also exakt ablesen, wann der PC hochgefahren wurde.

Ereignis-ID 6006 – Ordnungsgemäßes Herunterfahren

Ein sauberes, korrektes Herunterfahren des Systems wird durch Ereignis-ID 6006 bestätigt. Wer wissen möchte, ob der PC zuletzt regulär heruntergefahren wurde, prüft deshalb zunächst diesen Eintrag.

Ereignis-ID 6008 – Unerwartetes Herunterfahren

Ereignis-ID 6008 weist auf eine unerwartete Abschaltung hin – zum Beispiel infolge eines Stromausfalls oder Systemabsturzes. Findet sich dieser Eintrag im Protokoll, ist das ein deutlicher Hinweis auf ein Stabilitätsproblem.

Ereignis-ID 1074 – Benutzer- oder anwendungsinitiierter Vorgang

Ereignis-ID 1074 zeigt einen durch Benutzer oder Prozess ausgelösten Neustart bzw. Shutdown an und enthält dabei Details wie den auslösenden Prozess, das Benutzerkonto, den Grund sowie den Typ des Vorgangs (Herunterfahren oder Neustart). Außerdem erscheint dieser Eintrag auch dann, wenn Windows Update automatisch einen Neustart durchgeführt hat.

Ereignis-ID 41 – Ungeplanter Neustart (Kernel-Power)

Ereignis-ID 41 erscheint, wenn das System ohne sauberes Herunterfahren neu gestartet wurde – häufig durch Stromverlust, einen Absturz oder ein Einfrieren des Systems. Tritt diese ID wiederholt auf, weist das auf ein ernstes Hardware- oder Treiberproblem hin.

Ergänzende Ereignis-IDs

Zusätzlich zu den fünf Haupt-IDs gibt es weitere nützliche Einträge:

• Ereignis-ID 1076 – Dokumentiert den Grund für einen Neustart oder ein Herunterfahren, wenn dieser vom Benutzer manuell angegeben wurde
• Ereignis-ID 6009 – Zeigt Prozessorinformationen beim Systemstart an
• Ereignis-ID 6013 – Gibt die Betriebszeit (Uptime) des Systems an

Häufige Szenarien und wie Sie sie auswerten

Szenario 1: PC startet unregelmäßig neu

Wenn Windows ohne erkennbaren Grund neu startet, sollten Sie zunächst nach Ereignis-ID 41 suchen. Tritt diese wiederholt auf, folgt häufig kurz darauf eine Ereignis-ID 6008. Deshalb empfiehlt es sich, beide IDs kombiniert zu filtern und die Zeitstempel zu vergleichen. Mögliche Ursachen sind dabei instabile Treiber, überhitzte Hardware oder ein defektes Netzteil.

Szenario 2: Windows Update hat den PC unerwartet neu gestartet

In diesem Fall findet sich im Protokoll eine Ereignis-ID 1074 mit der Beschreibung „Windows Update“ als auslösender Prozess. Zusätzlich lässt sich in den Windows-Update-Einstellungen unter Einstellungen > Windows Update > Updateverlauf nachvollziehen, welches Update installiert wurde.

Szenario 3: Herausfinden, wann der PC zuletzt eingeschaltet war

Filtern Sie das Systemprotokoll nach Ereignis-ID 6005 und sortieren Sie die Ergebnisse nach Datum absteigend. Der erste Eintrag in der Liste entspricht dem letzten Systemstart. Ebenso können Sie Ereignis-ID 6005 und 6006 kombinieren, um die genaue Betriebszeit zwischen Start und Shutdown zu berechnen.

Szenario 4: Verdächtiges Herunterfahren aufklären

Erscheint ein Herunterfahren zu einer ungewöhnlichen Uhrzeit, liefert Ereignis-ID 1074 den Benutzernamen, der den Vorgang initiiert hat. Zusätzlich lässt sich über die Ereignis-ID 1076 ein angegebener Grund ablesen, falls dieser eingegeben wurde.

Protokolle exportieren und speichern

In manchen Fällen ist es sinnvoll, Protokolldaten zu exportieren – beispielsweise für eine spätere Analyse oder zur Weitergabe an den technischen Support. Windows bietet dafür integrierte Exportfunktionen.

Export über die Ereignisanzeige

1. Klicken Sie im linken Bereich der Ereignisanzeige auf „System“ (unter Windows-Protokolle).
2. Wählen Sie im rechten Bereich „Protokoll speichern unter“.
3. Wählen Sie das gewünschte Format: EVTX (für spätere Analyse in der Ereignisanzeige), XML oder TXT.
4. Wählen Sie einen Speicherort und bestätigen Sie.

Export per PowerShell in eine CSV-Datei

Außerdem lässt sich die Ausgabe per PowerShell direkt als CSV-Datei speichern:

Get-WinEvent -FilterHashtable @{LogName = 'System'; Id = 41, 1074, 6005, 6006, 6008} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\Shutdown-Log.csv" -NoTypeInformation -Encoding UTF8

Die entstehende Datei lässt sich anschließend mit Microsoft Excel oder jedem anderen Tabellenkalkulationsprogramm öffnen und auswerten.

Empfohlene Vorgehensweisen beim Lesen von Ereignisprotokollen

Damit die Auswertung von Herunterfahr- und Neustartprotokollen möglichst effizient gelingt, sollten folgende Punkte beachtet werden:

Immer filtern statt scrollen: Das Systemprotokoll enthält Tausende von Einträgen. Deshalb sollte man stets den Protokollfilter verwenden und gezielt nach den relevanten Ereignis-IDs suchen, anstatt manuell durch die Liste zu blättern.

Zeitstempel vergleichen: Besonders bei Absturzanalysen ist es hilfreich, Ereignis-ID 41 und 6008 zeitlich miteinander zu verknüpfen. Außerdem hilft der Abgleich mit 6005-Einträgen dabei, die genaue Ausfallzeit zu bestimmen.

Regelmäßige Kontrolle: Wer seinen PC häufig für wichtige Aufgaben nutzt, sollte das Protokoll regelmäßig prüfen – auch ohne akuten Anlass. Zudem lassen sich damit frühzeitig instabile Muster erkennen, bevor ein schwerwiegendes Problem entsteht.

Benutzerdefinierte Ansichten nutzen: Statt den Filter bei jeder Prüfung neu einzugeben, lohnt sich die einmalige Erstellung einer benutzerdefinierten Ansicht. Dadurch spart man dauerhaft Zeit und behält den Überblick.

Protokolle bei Systemproblemen sofort sichern: Direkt nach einem unerwarteten Neustart oder Absturz sollte das Protokoll exportiert werden, bevor ältere Einträge durch neue überschrieben werden. Zudem empfiehlt sich ein Speicherort außerhalb des Systemlaufwerks.

Häufige Fragen zu Herunterfahr- & Neustartprotokollen

Wo finde ich die Herunterfahr- und Neustartprotokolle in Windows 10 und 11?

Die Protokolle befinden sich in der Ereignisanzeige unter Windows-Protokolle > System. Dort filtern Sie nach den Ereignis-IDs 6005, 6006, 6008, 1074 und 41, um gezielt Start- und Shutdown-Ereignisse anzuzeigen. Die Ereignisanzeige öffnen Sie am schnellsten mit der Tastenkombination Windows + R und dem Befehl eventvwr.msc.

Was bedeutet Ereignis-ID 41 in Windows?

Ereignis-ID 41 zeigt an, dass das System neu gestartet wurde, ohne zuvor sauber heruntergefahren worden zu sein – häufig ausgelöst durch Stromverlust, einen Absturz oder ein eingefrorenes System. Erscheint diese ID regelmäßig, sollte die Hardware auf Defekte geprüft werden.

Was ist der Unterschied zwischen Ereignis-ID 6006 und 6008?

Ereignis-ID 6006 kennzeichnet ein ordnungsgemäßes, sauberes Herunterfahren, während Ereignis-ID 6008 auf ein unerwartetes vorheriges Herunterfahren hinweist. Findet sich 6008 ohne vorherige 6006-Meldung, deutet das auf einen Absturz oder Stromausfall hin.

Wie finde ich heraus, wer den PC neu gestartet hat?

Filtern Sie das Systemprotokoll nach Ereignis-ID 1074. Der zugehörige Eintrag enthält den Namen des auslösenden Prozesses, das Benutzerkonto und den Grund für den Neustart oder das Herunterfahren. So lässt sich exakt nachvollziehen, ob ein Benutzer, ein Programm oder Windows Update den Vorgang eingeleitet hat.

Kann ich Herunterfahr-Protokolle per PowerShell abrufen?

Ja, das ist möglich. Der empfohlene Befehl lautet:

Get-WinEvent -FilterHashtable @{LogName = 'System'; Id = 41, 1074, 6005, 6006, 6008} | Format-List TimeCreated, Id, Message

Dieser Befehl zeigt alle relevanten Ereignisse mit Zeitstempel und Beschreibung an und funktioniert sowohl in Windows 10 als auch in Windows 11.

Wie lange werden Ereignisprotokolle in Windows gespeichert?

Standardmäßig ist das Systemprotokoll auf eine maximale Größe von 20 MB begrenzt. Zudem überschreibt Windows ältere Einträge automatisch, sobald das Limit erreicht wird. Deshalb empfiehlt es sich, wichtige Protokollabschnitte regelmäßig zu exportieren. Die maximale Protokollgröße lässt sich in den Eigenschaften des Protokolls in der Ereignisanzeige anpassen.

Was bedeutet Ereignis-ID 1074 im Zusammenhang mit Windows Update?

Wenn Windows Update einen automatischen Neustart ausführt, erscheint im Systemprotokoll eine Ereignis-ID 1074 mit dem Prozessnamen TrustedInstaller.exe oder wusa.exe als Quelle. Außerdem enthält die Beschreibung den Hinweis „Windows Update“ als Grund. Zusätzlich lässt sich der zugehörige Patch im Windows Update-Verlauf identifizieren.

Kann ich benutzerdefinierte Ansichten für Shutdown-Ereignisse speichern?

Ja, und das ist sogar empfehlenswert. In der Ereignisanzeige können Sie unter „Benutzerdefinierte Ansichten > Benutzerdefinierte Ansicht erstellen“ einen dauerhaften Filter für die Ereignis-IDs 41, 1074, 6005, 6006 und 6008 anlegen. Dieser bleibt gespeichert und ist fortan im linken Bereich der Ereignisanzeige jederzeit abrufbar.

Was tun, wenn Ereignis-ID 6008 wiederholt auftaucht?

Tritt Ereignis-ID 6008 mehrfach auf, deutet das auf ein ernstes Stabilitätsproblem hin. Mögliche Ursachen sind dabei ein defektes Netzteil, überhitzte Komponenten, fehlerhafte RAM-Module oder instabile Treiber. Deshalb empfehlen sich folgende Schritte: Führen Sie zunächst den Windows-Speicherdiagnose-Test (mdsched.exe) aus. Prüfen Sie außerdem die Temperaturen mit einem Tool wie HWMonitor und aktualisieren Sie alle Gerätetreiber über den Geräte-Manager.

Wie kann ich Protokolldaten für den technischen Support exportieren?

Öffnen Sie die Ereignisanzeige, navigieren Sie zu Windows-Protokolle > System und klicken Sie rechts auf „Protokoll speichern unter“. Wählen Sie das Format EVTX für eine vollständige Analyse oder TXT für eine lesbare Textdatei. Ebenso funktioniert der Export per PowerShell direkt als CSV-Datei, was sich besonders für umfangreichere Auswertungen eignet.

Funktioniert die Ereignisanzeige auch auf Windows Server?

Ja, die Ereignisanzeige ist ebenso Bestandteil aller aktuellen Windows Server-Versionen (2016, 2019, 2022). Dort gelten dieselben Ereignis-IDs und Filtermethoden wie unter Windows 10 und Windows 11. Zusätzlich bietet PowerShell auf Server-Systemen die Möglichkeit, Protokolle von Remote-Computern abzurufen – beispielsweise mit dem Parameter -ComputerName im Get-WinEvent-Befehl.

Fazit

Die Ereignisanzeige in Windows 10 und Windows 11 ist das zuverlässigste Werkzeug, um Herunterfahr- und Neustartprotokolle auszulesen. Mit den richtigen Ereignis-IDs – insbesondere 6005, 6006, 6008, 1074 und 41 – lassen sich Start- und Shutdown-Vorgänge präzise nachvollziehen.

Wer regelmäßig Protokolle prüft, erkennt Stabilitätsprobleme frühzeitig und kann gezielt gegensteuern. Deshalb lohnt sich die einmalige Einrichtung einer benutzerdefinierten Ansicht für dauerhafte Übersicht.