O evento 6009 é registrado na inicialização, não no desligamento. Ele contém apenas uma string identificando a versão do sistema operacional. Tem sido assim desde o NT 4.0 ou mais.
Se você estiver procurando por um desligamento / reinício iniciado pelo sistema, procure event 1074 . Os detalhes desse evento informam que processo iniciou a reinicialização e qual motivo foi fornecido, e você pode verifique o código de razão para mais informações sobre o motivo pelo qual o sistema desligou ou reiniciou.