Referindo-se à sua solicitação sobre o início e o encerramento de IDs de eventos, fiz a lista abaixo com base em uma máquina com o Windows 10. O ponto principal é que, dependendo da ação de desligamento (reinicialização planejada, desligamento planejado, desligamento inesperado ou falha no processo LSASS), os eventos gerados serão diferentes:
- 1074 The process Explorer.EXE has initiated the shutdown of computer on behalf of user for the following reason: Other (Unplanned)
- 6006 The Event log service was stopped.
- 109 The kernel power manager has initiated a shutdown transition.
- 13 The operating system is shutting down at system time
- 20 The last shutdown's success status was true. The last boot's success status was true.
- 12 The operating system started at system time
- 6005 The Event log service was started.
- 6013 The system uptime is 10 seconds.
Para fazer uma clara visão geral das diferentes ações de desligamento, fiz a seguinte tabela. Espero que ajude.