PCが理由もなく再起動した理由を確認する

これらは、リブートの追跡に役立つイベントIDです。

イベントID 1074（ソース：USER32）は「...再起動を開始しました...」
イベントID 6005（ソース：EventLog）は「イベントログサービスが開始されました」です。
イベントID 6006（ソース：EventLog）は「Event Log Service was Stopped」です。
イベントID 7001（ソース：WinLogon）は「User Logon」です。
イベントID 7002（ソース：WinLogon）は「User Logoff」です。

6005は、コンピューターが起動/電源投入されていることを示す良い指標です。
6006は、コンピュータが再起動/シャットダウンしていることを示す良い指標です。


1074何かがシステムの再起動（通常はWindowsの更新）を引き起こしたときに表示されるものです。
例：

プロセスC：\ Windows\CCM\CcmExec.exe（SomeComputerName）は、次の理由により、ユーザーNT AUTHORITY\SYSTEMに代わってコンピューターSomeComputerNameの再起動を開始しました：この理由のタイトルが見つかりませんでした
理由コード：0x80020001
シャットダウンの種類：再起動
コメント：コンピューターは2017年7月1日08:14:38に再起動しますPMはアプリケーションとソフトウェアの更新のインストールを完了するためです。

オンラインの説明1074の読み取り：

このイベントは、アプリケーションによってシステムが再起動したとき、またはユーザーが[スタート]ボタンをクリックするか、Ctrl + Alt + Delキーを押して[シャットダウン]をクリックして再起動またはシャットダウンを開始したときに書き込まれます。

私のログには7036の情報イベントIDが多数含まれているため、それらを（ノイズとして）無視することにしました。
「Filter Current Log ...」の場合、これを次のように含めたり除外したりします。

-7036,1074,6005,6006,7001,7002

私のマシンでは、これを見ました：

再起動の通知が午後6時14分に出ました（夕食時に不在でした）。
マシンは午後8時15分にログアウトしました。
マシンは午後8時16分に電源が切れました。
マシンは午後8時17分に起動しました（ウォームリブートを示します）。
夕食と映画から家に帰ると、午後8時59分にログインし直しました。

これにより、IT部門がポリシーを設定していて、再起動の通知が2時間しか届かないことがわかりました。
再起動の理由は異なる可能性があるため、これらの時間を書き留め、その時間に記録されたものを探します。

Nirsoft の無料ツール TurnedOnTimesView には理由が表示されます。

MikeTeeVeeからの回答はすでに適切な開始点ですが、Kernel-PowerイベントおよびKernel-Generalイベント（12、13、89、109、41、42）のいくつかを含めることもできます。

これらはそれぞれ、オペレーティングシステムの起動、オペレーティングシステムのシャットダウン、電源マネージャーのシャットダウン、クリーンシャットダウンなしの再起動、スリープ状態に入るアイドルシステム、スリープ動作の失敗です。これらは確かにすでに提供されているイベントIDと一部重複していますが、必要に応じて追加のコンテキストが追加される場合があります。

統合/除外イベントIDフィールドの組み合わせ：

-7036,1074,6005,6006,7001,7002,6008,12,13,109,41,42,43,1