Как сказано в названии. Из того, что я вкратце прочитал, 6009 возникает, когда пользователь инициирует CTRL-ALT-DEL или Start> Shutdown. Если, например, СИСТЕМА инициирует последовательность выключения, будет ли это событие также регистрироваться?
Событие 6009 регистрируется при запуске, а не при выключении. Он содержит только строку, определяющую версию операционной системы. Так было с NT 4.0 или около того.
Если вы ищете запускаемое системой выключение / перезапуск, ищите событие 1074. Подробности этого события расскажут вам, какой процесс инициировал перезапуск и по какой причине, и вы можете проверьте код причины для получения дополнительной информации о том, почему система была выключена или перезапущена.
Спасибо Майклу Хэмптону за разъяснение того, что 6009 запускается.
Чтобы ответить на вопрос OP, есть ли 6009 после завершения работы системы? Да, похоже. При запуске компьютера после выключения системы появляется сообщение 6009. (Отключение системы - это событие с идентификатором 1074, как говорит Майкл).
Вот хорошая оболочка PowerShell для отображения обоих этих событий, чтобы вы могли убедиться, что 6009 следуют за 1074:
Get-WinEvent -FilterHashtable @{LogName = "System"; Id = 1074, 6009; }