如何查看电脑的启动和关闭历史记录 Windows

有时用户想了解计算机的启动和关闭历史记录。 大多数时候,系统管理员需要了解历史记录来排除故障。 如果多人使用计算机,检查 PC 的启动和关闭时间以确保 PC 的使用是合法的,这可能是一个很好的安全措施。 在本文中,我们讨论了密切关注电脑关闭和启动时间的方法。

很高兴知道:了解如何添加便携式应用程序 Windows 首先阅读我们的指南。

内容

1.使用事件日志提取启动和关闭时间

Windows 内置的事件查看器是一个很棒的工具,可以记录计算机上发生的各种事件。 事件查看器为每个事件记录一个条目。 这一切都是由事件日志服务完成的,该服务无法手动停止或禁用,因为它是一个 Windows 核心服务。 同时,事件查看器会记录启动和关闭事件日志服务的历史记录。 您可以检查这些时间以了解计算机何时启动或关闭。

Eventlog 服务的事件使用两个事件代码进行记录。 事件 ID 6005 表示事件日志服务已启动,事件 ID 6006 表示事件日志服务已停止。 让我们回顾一下从事件查看器中提取此信息的整个过程。

  1. 打开事件查看器(按 Win + R 并输入“eventvwr”)
  1. 在左侧窗格中,打开Windows 日志 -> 系统。”
  1. 在中间区域,您会看到这段时间发生的事件的列表 Windows 跑了。 我们的目标是只看到三个事件。 首先,让我们按“事件 ID”对事件日志进行排序。 您可以左键单击事件 ID 列进行自动排序,也可以右键单击并选择“按此列对事件进行排序”进行排序。
  1. 如果您的事件日志非常大,排序将不起作用。 您还可以在右侧的操作窗格中创建过滤器。 只需单击“过滤当前日志”即可。
点击
  1. 在标记为“的事件 ID”字段中输入“6005、6006”“ A。 您还可以在“已记录”(见上文)下设置时间段。
添加事件 ID

在进行研究时,您需要查看几个重要的事件 ID,包括:

  • 事件 ID 41 应为:“系统在未先关闭的情况下重新启动。”当您的电脑在未正常关闭的情况下重新启动时,会出现此信息。
  • 事件 ID 1074 可能包含不同的消息,具体取决于 PC 的关闭方式。 但是,当程序或用户启动关闭时,总会发生这种情况。
  • 事件 ID 1076 告诉您电脑关闭或重新启动的原因。 它可以让您更深入地了解某些事情发生的原因。
  • 事件 ID 6005 应标记为“事件日志服务已启动”。 这相当于系统启动。
  • 事件 ID 6006 应标记为“事件日志服务已停止”。 这相当于关闭系统。
  • 事件 ID 6008 应为:“上次系统关闭时间为 [time] 在 [date] 这是意外的。”这是您的电脑在非正常关闭后启动的迹象。
  • 事件 ID 6009 具有不同的消息,具体取决于处理器。 然而,这意味着在某个时刻您的处理器被检测到。
  • 事件 ID 6013 应为:“系统可用性为 [time.]“这显示了你的电脑已经打开了多长时间。 这是以秒为单位的时间。

您还可以设置自定义事件查看器视图,以便将来快速查看此信息并节省时间。 您还可以根据需要设置多个事件查看器视图,而不仅仅是启动和关闭历史记录。

伟大的:不确定何时通过 PowerShell 使用命令提示符,反之亦然? 在这里查看差异。

2. 使用命令提示符或 PowerShell 进行验证

如果您不想执行上述所有操作,请尝试使用命令提示符或 PowerShell 检查事件 ID。 为此,您需要知道 ID 号。

  1. 按 Win + R 打开“运行”对话框。
  2. 输入“cmd”并按 Ctrl+Shift+ Enter 使用提升的鼠标按钮打开命令提示符 admin 特权。
轻敲
  1. Enter 输入以下命令,将事件 ID 号替换为您要查看的号码。 在本例中为“6006”。
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1
在命令提示符中输入命令。
  1. 如果您想一次检查多个代码,使用 PowerShell 会更容易。 按 Win + X 并根据您的版本选择“终端(管理员)”或“PowerShell(管理员)”。 Windows。
点击
  1. Enter 以下命令。 替换括号中的数字以包含您想要的任何事件 ID 号。
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
在 PowerShell 中输入命令。
  1. 结果可能需要一分钟才会出现。 不过,你会发现它比命令提示符详细得多。
在PowerShell中输入命令,就会显示结果。

供你参考:需要有关事件查看器的更多信息? 我们将详细向您展示如何使用它。

3.使用TurnedOnTimesView

打开时间查看 是一个简单的便携式工具,用于分析启动和关闭历史记录的事件日志。 该实用程序允许您查看本地计算机或连接到网络的所有远程计算机的关闭和启动时间列表。 该实用程序适用于每个人 Windows 的版本 Windows 2000 至 Windows 10. 除此之外,它的效果也很好 Windows 11、根据我们的测试。

  1. 由于它是一个便携式工具,您所要做的就是解压缩并运行 TurnedOnTimesView.exe 文件。
  2. 它立即列出启动时间、关闭时间、每次启动和关闭之间的运行时间、关闭原因以及关闭代码。
TurnedOnTimesView 程序正在运行。
  1. 它还显示通常与之相关的“关闭原因” Windows 要求您在关闭服务器时提供原因的服务器计算机。 如果您使用的是非服务器版本的 Windows,您可能不会看到“关闭原因”。
  1. 按 F9 转至高级选项。
  2. 在“数据源”下选择“远程计算机”。
切换到
  1. 在“计算机名称”字段中,输入计算机的IP地址或名称,然后单击“确定”按钮。 远程计算机的详细信息现在显示在列表中。
在下面输入IP地址

虽然您始终可以使用事件查看器来详细分析启动和关闭时间,但 TurnedOnTimesView 通过非常简单的界面和精确的数据来实现此目的。

如果 TurnedOnTimesView 不太适合您,请尝试一下 最后活动视图。 它来自相同的开发人员。 它不仅显示启动和关闭活动,还显示文件和程序是否已打开、系统崩溃、网络连接/断开等。 如果您正在开发一个系统,这是查看系统意外启动/关闭期间发生的情况的好方法 Windows 11/10/8/7/Vista 计算机。

另一种可能性是 关闭记录器这是兼容的 Windows 11/10/8/7 顾名思义,它会显示您的电脑何时关闭。 不过,它确实添加了一些其他不错的功能,包括关机前登录的用户和电脑正常运行时间。 然而,它只提供 30 天的免费试用。

伟大的:有多种暂停计算机的模式。 查看关机、休眠和休眠之间的区别,以决定什么最适合您。

经常问的问题

为什么我的计算机意外关闭?

当您知道没有其他人在使用您的电脑时,意外关机可能会令人担忧。 在这种情况下,通常会显示事件 ID 6008。

虽然并不总是一个严重的问题,但意外关机的一些最常见原因包括计算机过热、电源问题、硬盘驱动器故障,甚至驱动程序问题。

我可以查看我使用计算机的时间吗?

您可以使用第三方应用程序,例如 Shutdown Logger(前面提到过)或使用 Screen Time(屏幕时间),这是 Windows。 您所要做的就是使用您的 Microsoft 帐户设置 Microsoft Family。 然后,您可以从您的电脑添加更多用户,并查看您和其他人如何使用电脑。 转到“设置”->“帐户”->“打开家庭应用程序”即可开始。

如果在事件查看器中发现可疑日志,我该怎么办?

如果您觉得某些事情可疑,可能是时候深入研究可疑的启动和关闭事件了。 使用这些技巧来查看是否有其他人正在登录您的计算机。

Related Posts