So zeigen Sie den PC-Start- und -Herunterfahrverlauf in Windows an

Es gibt Zeiten, in denen ein Benutzer den Start- und Herunterfahrverlauf eines Computers wissen möchte. Meistens müssen Systemadministratoren zur Fehlerbehebung den Verlauf kennen. Wenn mehrere Personen den Computer verwenden, kann es eine gute Sicherheitsmaßnahme sein, die Start- und Herunterfahrzeiten des PCs zu überprüfen, um sicherzustellen, dass der PC rechtmäßig verwendet wird. In diesem Artikel besprechen wir Möglichkeiten, die Abschalt- und Startzeiten Ihres PCs im Auge zu behalten.

1. Verwenden von Ereignisprotokollen zum Extrahieren von Start- und Herunterfahrzeiten

Die in Windows integrierte Ereignisanzeige ist ein wunderbares Tool, das alle Arten von Ereignissen speichert, die auf dem Computer passieren. Bei jedem Ereignis protokolliert die Ereignisanzeige einen Eintrag. Dies alles wird vom Ereignisprotokolldienst erledigt, der nicht manuell gestoppt oder deaktiviert werden kann, da es sich um einen Windows-Kerndienst handelt. Gleichzeitig protokolliert die Ereignisanzeige den Verlauf des Startens und Herunterfahrens des Eventlog-Dienstes. Sie können diese Zeiten überprüfen, um eine Vorstellung davon zu bekommen, wann Ihr Computer gestartet oder heruntergefahren wurde.

Die Ereignisse des Eventlog-Dienstes werden mit zwei Ereigniscodes protokolliert. Die Ereignis-ID 6005 zeigt an, dass der Ereignisprotokolldienst gestartet wurde, und die Ereignis-ID 6006 gibt an, dass der Ereignisprotokolldienst gestoppt wurde. Lassen Sie uns den gesamten Prozess zum Extrahieren dieser Informationen aus der Ereignisanzeige durchgehen.

• Öffnen Sie die Ereignisanzeige (drücken Sie Win+ Rund geben Sie „eventvwr“ ein).

• Öffnen Sie im linken Bereich „Windows-Protokolle -> System“.

• Im mittleren Bereich erhalten Sie eine Liste der Ereignisse, die während der Ausführung von Windows aufgetreten sind. Unser Ziel ist es, nur drei Veranstaltungen zu sehen. Sortieren wir zunächst das Ereignisprotokoll nach „Ereignis-ID“. Sie können entweder mit der linken Maustaste auf die Spalte „Ereignis-ID“ klicken, um automatisch zu sortieren, oder mit der rechten Maustaste klicken und zum Sortieren „Ereignisse nach dieser Spalte sortieren“ auswählen.

• Wenn Ihr Ereignisprotokoll sehr groß ist, funktioniert die Sortierung nicht. Sie können auch im Aktionsbereich auf der rechten Seite einen Filter erstellen. Klicken Sie einfach auf „Aktuelles Protokoll filtern“.

• Geben Sie „6005, 6006“ in das Feld „Ereignis-IDs“ mit der Bezeichnung „<Alle Ereignis-IDs>“ ein. Sie können den Zeitraum auch unter „Protokolliert“ (oben) festlegen.

Wenn Sie Nachforschungen anstellen, müssen Sie sich mehrere wichtige Ereignis-IDs ansehen, darunter:

• Die Ereignis-ID 41 sollte lauten: „Das System wurde neu gestartet, ohne vorher herunterzufahren.“ Dies wird angezeigt, wenn Ihr PC ohne ordnungsgemäßes Herunterfahren neu startet.
• Die Ereignis-ID 1074 kann je nach Art des Herunterfahrens des PCs unterschiedliche Meldungen enthalten. Es passiert jedoch immer, wenn ein Programm oder der Benutzer ein Herunterfahren initiiert.
• Mithilfe der Ereignis-ID 1076 erfahren Sie, warum der PC heruntergefahren oder neu gestartet wurde. Es kann Ihnen mehr Einblick in die Gründe geben, warum etwas passiert ist.
• Die Ereignis-ID 6005 sollte mit „Der Ereignisprotokolldienst wurde gestartet“ gekennzeichnet sein. Dies ist gleichbedeutend mit Systemstart.
• Die Ereignis-ID 6006 sollte mit „Der Ereignisprotokolldienst wurde gestoppt“ gekennzeichnet sein. Dies ist gleichbedeutend mit einem Herunterfahren des Systems.
• Die Ereignis-ID 6008 sollte lauten: „Das vorherige Herunterfahren des Systems um [Uhrzeit] am [Datum] war unerwartet.“ Dies ist ein Zeichen dafür, dass Ihr PC nach einem unsachgemäßen Herunterfahren gestartet wurde.
• Die Ereignis-ID 6009 weist je nach Prozessor unterschiedliche Meldungen auf. Dies bedeutet jedoch, dass Ihr Prozessor zu einem bestimmten Zeitpunkt erkannt wurde.
• Die Ereignis-ID 6013 sollte lauten: „Die Systemverfügbarkeit beträgt [Zeit.]“. Dies zeigt an, wie lange Ihr PC eingeschaltet war. Dies ist die Zeit in Sekunden.

Sie können auch benutzerdefinierte Ereignisanzeigeansichten einrichten, um diese Informationen in Zukunft schnell überprüfen zu können und Zeit zu sparen. Sie können je nach Bedarf auch mehrere Ansichten der Ereignisanzeige einrichten, nicht nur den Start- und Herunterfahrverlauf.

2. Überprüfung mit der Eingabeaufforderung oder PowerShell

Wenn Sie nicht alle oben genannten Schritte ausführen möchten, versuchen Sie, die Ereignis-IDs mit der Eingabeaufforderung oder PowerShell zu überprüfen. Dazu müssen Sie die ID-Nummer kennen.

• Drücken Sie Win+, Rum das Dialogfeld „Ausführen“ zu öffnen.
• Geben Sie „cmd“ ein und drücken Sie Ctrl+ Shift+ Enter, um die Eingabeaufforderung mit erhöhten Administratorrechten zu öffnen.

• Geben Sie den folgenden Befehl ein und ersetzen Sie die Ereignis-ID-Nummer durch die Nummer, die Sie sehen möchten. In diesem Fall ist es „6006“.

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

• Wenn Sie mehrere Codes gleichzeitig auschecken möchten, ist die Verwendung von PowerShell einfacher. Drücken Sie Win+ Xund wählen Sie je nach Windows-Version „Terminal (Admin)“ oder „PowerShell (Admin)“.

• Geben Sie den folgenden Befehl ein. Ersetzen Sie die Zahlen in den Klammern, um alle gewünschten Ereignis-ID-Nummern einzuschließen.

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

• Es kann eine Minute dauern, bis Ergebnisse angezeigt werden. Sie werden jedoch feststellen, dass es viel detaillierter ist als die Eingabeaufforderung.

3. Verwenden von TurnedOnTimesView

TurnedOnTimesView ist ein einfaches, tragbares Tool zur Analyse des Ereignisprotokolls für den Start- und Herunterfahrverlauf. Mit dem Dienstprogramm können Sie die Liste der Abschalt- und Startzeiten lokaler Computer oder aller mit dem Netzwerk verbundenen Remotecomputer anzeigen. Das Dienstprogramm funktioniert auf jeder Windows-Version von Windows 2000 bis Windows 10. Allerdings funktioniert es laut unseren Tests auch gut unter Windows 11.

• Da es sich um ein portables Tool handelt, müssen Sie lediglich die Datei TurnedOnTimesView.exe entpacken und ausführen.
• Es werden sofort die Startzeit, die Abschaltzeit, die Betriebszeit zwischen den einzelnen Starts und Abschaltungen, der Grund für die Abschaltung und der Abschaltcode aufgeführt.

• Außerdem wird ein „Grund für das Herunterfahren“ angezeigt, der normalerweise mit Windows Server-Computern verknüpft ist, bei denen Sie einen Grund angeben müssen, wenn Sie den Server herunterfahren. Wenn Sie eine Nicht-Server-Edition von Windows haben, wird wahrscheinlich kein „Grund für das Herunterfahren“ aufgeführt.

• Drücken Sie, F9um zu „Erweiterte Optionen“ zu gelangen.
• Wählen Sie unter „Datenquelle“ „Remotecomputer“ aus.

• Geben Sie im Feld „Computername“ die IP-Adresse oder den Namen des Computers ein und klicken Sie auf die Schaltfläche „OK“. Nun werden in der Liste die Details des Remote-Computers angezeigt.

Während Sie die Ereignisanzeige jederzeit für eine detaillierte Analyse der Start- und Abschaltzeiten verwenden können, erfüllt TurnedOnTimesView diesen Zweck mit einer sehr einfachen Benutzeroberfläche und punktgenauen Daten.

Wenn TurnedOnTimesView nicht ganz das Richtige für Sie ist, versuchen Sie es mit LastActivityView . Es stammt von denselben Entwicklern. Es zeigt nicht nur die Start- und Herunterfahraktivität an, sondern auch, ob Dateien und Programme geöffnet wurden, Systemabstürze, Netzwerkverbindungen/-trennungen und mehr. Dies ist eine gute Möglichkeit, zu sehen, was während eines unerwarteten Systemstarts/-herunterfahrens passiert ist, wenn Sie auf einem Windows 11/10/8/7/Vista-Computer arbeiten.

Eine weitere Option ist Shutdown Logger , der mit Windows 11/10/8/7 kompatibel ist. Wie der Name schon sagt, zeigt er Ihnen an, wann Ihr PC heruntergefahren wurde. Es fügt jedoch noch ein paar weitere nette Funktionen hinzu, einschließlich der Frage, wer vor dem Herunterfahren angemeldet war, und der PC-Betriebszeit. Es bietet jedoch nur eine 30-tägige kostenlose Testversion.

Häufig gestellte Fragen

Warum wurde mein Computer unerwartet heruntergefahren?

Wenn Sie wissen, dass niemand anderes Ihren PC verwendet, kann ein unerwartetes Herunterfahren besorgniserregend sein. In diesem Fall wird normalerweise die Ereignis-ID 6008 angezeigt.

Obwohl es sich nicht immer um ein ernstes Problem handelt, gehören zu den häufigsten Ursachen für unerwartete Abschaltungen eine Überhitzung Ihres Computers , Probleme mit der Stromversorgung, Festplattenausfälle und sogar Treiberprobleme.

Kann ich sehen, wie lange ich meinen Computer benutzt habe?

Sie können eine Drittanbieter-App wie Shutdown Logger (bereits erwähnt) verwenden oder Screen Time nutzen, eine integrierte Funktion von Windows. Sie müssen lediglich Microsoft Family mit Ihrem Microsoft-Konto einrichten . Anschließend können Sie weitere Benutzer von Ihrem PC hinzufügen und sehen, wie Sie und andere den PC nutzen. Gehen Sie zu „Einstellungen -> Konten -> Familien-App öffnen“, um zu beginnen.

Was soll ich tun, wenn ich in der Ereignisanzeige ein verdächtiges Protokoll finde?

Wenn Ihnen etwas fragwürdig vorkommt, ist es möglicherweise an der Zeit, sich eingehender mit verdächtigen Start- und Abschaltereignissen zu befassen. Verwenden Sie diese Tricks, um festzustellen, ob sich jemand anderes an Ihrem Computer anmeldet .

Bildnachweis: Pexels Alle Screenshots von Crystal Crowder.