Иногда пользователь хочет знать историю запуска и выключения компьютера. В основном системным администраторам необходимо знать историю для устранения неполадок. Если компьютером пользуются несколько человек, хорошей мерой безопасности может быть проверка времени запуска и выключения компьютера, чтобы убедиться, что компьютер используется законно. В этой статье мы обсудим способы отслеживания времени выключения и запуска вашего компьютера.
Полезно знать : узнайте, как добавить портативные приложения в автозагрузку Windows , просмотрев наше руководство.
1. Использование журналов событий для определения времени запуска и завершения работы
Встроенное средство просмотра событий Windows — замечательный инструмент, который сохраняет все события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Все это обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows. В то же время средство просмотра событий записывает историю запуска и заве
Contents
1. Использование журналов событий для определения времени запуска и завершения работы
ние о том, когда ваш компьютер был запущен или выключен.События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6006 указывает, что служба журнала событий остановлена. Давайте пройдемся по всему процессу извлечения этой информации из средства просмотра событий.
- Откройте программу просмотра событий (нажмите Win+ Rи введите «eventvwr.»)
- На левой панели откройте «Журналы Windows ->Система».
- В средней панели вы увидите список событий, произошедших во время работы Windows. Наша цель — увидеть только три события. Давайте сначала отсортируем журнал событий по «Идентификатору события». Вы можете либо щелкнуть левой кнопкой мыши по столбцу «Идентификатор события», чтобы выполнить автоматическую сортировку, либо щелкнуть правой кнопкой мыши и выбрать «Сортировать события по этому столбцу» для сортировки.
- Если ваш журнал событий огромен, сортировка не будет работать. Вы также можете создать фильтр на панели действий справа. Просто нажмите «Фильтровать текущий журнал».
- Введите «6005, 6006» в поле «Идентификаторы событий», помеченном как «<Все идентификаторы событий>». Вы также можете указать период времени в разделе «Записано» (вверху).
Во время расследования необходимо проверить несколько важных идентификаторов событий, в том числе:
- В событии с идентификатором 41 должно быть указано: «Система перезагрузилась без предварительного выключения». Вы увидите это, если ваш компьютер перезагрузится без надлежащего завершения работы.
- Событие с кодом 1074 может иметь разные сообщения в зависимости от способа выключения компьютера. Однако это всегда происходит, когда программа или пользователь инициируют завершение работы.
- Событие с кодом 1076 позволяет узнать, почему компьютер был выключен или перезапущен. Это поможет вам лучше понять, почему что-то произошло.
- Событие с идентификатором 6005 должно быть помечено как «Служба журнала событий запущена». Это синоним запуска системы.
- Событие с идентификатором 6006 должно быть помечено как «Служба журнала событий остановлена». Это синоним завершения работы системы.
- В событии с идентификатором 6008 должно быть указано: «Предыдущее завершение работы системы в [время] [дата] было неожиданным». Это признак того, что ваш компьютер запустился после неправильного выключения.
- Событие с кодом 6009 имеет разные сообщения в зависимости от вашего процессора. Однако это означает, что ваш процессор был обнаружен в определенное время.
- В событии с идентификатором 6013 должно быть указано: «Время безотказной работы системы — [время.]». Это показывает, как долго ваш компьютер был включен. Это время в секундах.
Вы также можете настроить пользовательские представления средства просмотра событий , чтобы иметь возможность быстро проверять эту информацию в будущем и экономить время. Вы также можете настроить несколько представлений просмотра событий в зависимости от ваших потребностей, а не только историю запуска и завершения работы.
Совет. Не знаете, когда следует использовать Командная строка через PowerShell или наоборот? Ознакомьтесь с различиями здесь.
2. Проверка с помощью командной строки или PowerShell
Если вы не хотите выполнять все описанные выше шаги, попробуйте использовать командную строку или PowerShell для проверки идентификаторов событий. Для этого вам необходимо знать идентификационный номер.
- Нажмите Win+ R, чтобы открыть диалоговое окно «Выполнить».
- Введите «cmd» и нажмите Ctrl+ Shift+ Enter, чтобы открыть командную строку с повышенными правами администратора.
- Введите следующую команду и замените номер идентификатора события на номер, который вы хотите видеть. В данном случае это «6006».
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1
- Если вы хотите получить несколько кодов одновременно, проще использовать PowerShell. Нажмите Win+ Xи выберите «Терминал (Администратор)» или «PowerShell (Администратор)» в зависимости от вашей версии Windows.
- Введите следующую команду. Замените цифры в скобках, включив в них любые номера идентификаторов событий, которые вы хотите.
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
- Появление результатов может занять минуту. Однако вы заметите, что она намного более подробная, чем командная строка.
К вашему сведению : нужно еще информация о средстве просмотра событий ? Мы подробно покажем вам, как его использовать.
3. Использование TurnedOnTimesView
TurnedOnTimesView — это простой портативный инструмент для анализа журнала событий на предмет истории запуска и завершения работы. Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети. Утилита работает на любой версии Windows от Windows 2000 до Windows 10. При этом, согласно нашим тестам, она также хорошо работает и в Windows 11.
- Поскольку это портативный инструмент, вам нужно будет только разархивировать и запустить файл TurnedOnTimesView.exe.
- В нем сразу же будет указано время запуска, время завершения работы, продолжительность работы между каждым запуском и завершением работы, причина завершения работы и код завершения работы.
- Он также отобразит «Причину завершения работы», которая обычно связана с компьютерами Windows Server, где вам необходимо указать причину, если вы выключаете сервер. Если у вас несерверная версия Windows, вы, скорее всего, не увидите в списке «Причина завершения работы».
- Нажмите F9, чтобы перейти к «Дополнительным параметрам».
- Выберите «Удаленный компьютер» в разделе «Источник данных».
- Укажите IP-адрес или имя компьютера в поле «Имя компьютера» и нажмите кнопку «ОК». Теперь в списке будут показаны сведения об удаленном компьютере.
Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит этой цели благодаря очень простому интерфейсу и точным данным.
Если TurnedOnTimesView вам не подходит, попробуйте Последняя активностьView . Это от тех же разработчиков. Он не только показывает активность запуска и завершения работы, но и показывает, открывались ли файлы и программы, происходили ли сбои системы в сетевых подключениях/отключениях и многое другое. Это хороший способ узнать, что произошло во время неожиданного запуска или завершения работы системы, если вы работаете на компьютере с Windows 11/10/8/7/Vista.
Другой вариант — Регистратор выключения , который совместим с Windows 11/10/8/7. Как следует из названия, он сообщает вам, когда ваш компьютер был выключен. Тем не менее, он добавляет еще несколько приятных функций, в том числе информацию о том, кто входил в систему до выключения, и время безотказной работы компьютера. Однако он предлагает только 30-дневную бесплатную пробную версию.
Совет. Существует множество режимов постановки компьютера на паузу. Ознакомьтесь с различия между выключением, спящим режимом и спящим режимом , чтобы решить, какой из них подходит именно вам.
Часто задаваемые вопросы
Почему мой компьютер неожиданно выключился?
Если вы знаете, что вашим компьютером больше никто не пользовался, неожиданное выключение может вызвать беспокойство. Если это произошло, обычно вы увидите событие с кодом 6008.
Хотя это не всегда серьезная проблема, наиболее распространенными причинами неожиданного завершения работы являются перегрев компьютера , проблемы с питанием, сбои жесткого диска и даже проблемы с драйверами.
Могу ли я узнать, как долго я пользуюсь компьютером?
Вы можете использовать стороннее приложение, такое как Shutdown Logger (упомянутое ранее), или воспользоваться преимуществами Screen Time, встроенной функции Windows. Все, что вам нужно сделать, это настроить семью Microsoft использовать свою учетную запись Microsoft. Затем вы можете добавить других пользователей со своего компьютера и посмотре
3. Использование TurnedOnTimesView
е компьютер. Чтобы начать, перейдите в «Настройки ->Учетные записи ->Открыть семейное приложение».Что делать, если я обнаружил подозрительный журнал в средстве просмотра событий?
Если что-то кажется подозрительным, возможно, пришло время углубиться в подозрительные события запуска и завершения работы. Используйте эти приемы, чтобы посмотреть, заходит ли кто-то еще на ваш компьютер .
Изображение предоставлено: PexelsВсе снимки экрана сделаны Crystal Crowder.