Comment voir l’historique de démarrage et d’arrêt du PC sous Windows

2023/07/05

Il arrive parfois qu’un utilisateur souhaite connaître l’historique de démarrage et d’arrêt d’un ordinateur. La plupart du temps, les administrateurs système doivent connaître l’historique à des fins de dépannage. Si plusieurs personnes utilisent l’ordinateur, il peut être judicieux de vérifier les heures de démarrage et d’arrêt du PC pour s’assurer que le PC est utilisé de manière légitime. Dans cet article, nous discutons des moyens de suivre les temps d’arrêt et de démarrage de votre PC.

1. Utilisation des journaux d’événements pour extraire les heures de démarrage et d’arrêt

L’Observateur d’événements intégré à Windows est un outil merveilleux qui enregistre toutes sortes d’événements qui se produisent sur l’ordinateur. Lors de chaque événement, l’Observateur d’événements enregistre une entrée. Tout cela est géré par le service de journal des événements qui ne peut pas être arrêté ou désactivé manuellement, car il s’agit d’un service principal de Windows. En même temps, l’Observateur d’événements enregistre l’historique de démarrage et d’arrêt du service de journal des événements. Vous pouvez vérifier ces heures pour avoir une idée du moment où votre ordinateur a été démarré ou arrêté.

Les événements du service de journal des événements sont consignés avec deux codes d’événement. L’ID d’événement 6005 indique que le service de journal des événements a été démarré et l’ID d’événement 6006 indique que le service de journal des événements a été arrêté. Passons en revue le processus complet d’extraction de ces informations à partir de l’Observateur d’événements.

Ouvrez l’Observateur d’événements (appuyez sur Win+ Ret tapez « eventvwr ».)

Ouverture de l'Observateur d'événements dans Windows.

Dans le volet de gauche, ouvrez « Journaux Windows -> Système ».

Dans le volet du milieu, vous obtiendrez une liste des événements qui se sont produits pendant l’exécution de Windows. Notre objectif est de ne voir que trois événements. Commençons par trier le journal des événements avec « ID d’événement ». Vous pouvez soit cliquer avec le bouton gauche sur la colonne « ID d’événement » pour trier automatiquement, soit cliquer avec le bouton droit et sélectionner « Trier les événements par cette colonne » pour trier.

Si votre journal des événements est volumineux, le tri ne fonctionnera pas. Vous pouvez également créer un filtre à partir du volet Actions sur le côté droit. Cliquez simplement sur « Filtrer le journal actuel ».

Tapez « 6005, 6006 » dans le champ ID d’événement intitulé « <Tous les ID d’événement> ». Vous pouvez également spécifier la période sous « Connecté » (en haut.)

Lorsque vous enquêtez, vous devez vérifier plusieurs identifiants d’événement importants, notamment :

L’ID d’événement 41 doit indiquer « Le système a redémarré sans s’arrêter au préalable ». Vous le verrez si votre PC redémarre sans un arrêt approprié.
L’ID d’événement 1074 peut avoir des messages différents selon la façon dont le PC a été arrêté. Cependant, cela se produit toujours lorsqu’un programme ou l’utilisateur lance un arrêt.
L’ID d’événement 1076 vous permet de savoir pourquoi le PC a été arrêté ou redémarré. Cela peut vous donner une idée plus précise de la raison pour laquelle quelque chose s’est passé.
L’ID d’événement 6005 doit être étiqueté comme « Le service de journal des événements a été démarré ». Ceci est synonyme de démarrage du système.
L’ID d’événement 6006 doit être étiqueté comme « Le service de journal des événements a été arrêté ». Ceci est synonyme d’arrêt du système.
L’ID d’événement 6008 doit indiquer « Le précédent arrêt du système à [heure] le [date] était inattendu. » C’est un signe que votre PC a démarré après un arrêt incorrect.
L’ID d’événement 6009 contient différents messages en fonction de votre processeur. Cependant, cela signifie que votre processeur a été détecté à un moment précis.
L’ID d’événement 6013 devrait indiquer « Le temps de fonctionnement du système est de [heure.] ». Cela indique depuis combien de temps votre PC est allumé. C’est le temps en secondes.

Vous pouvez également configurer des vues personnalisées de l’Observateur d’événements pour pouvoir vérifier rapidement ces informations à l’avenir et gagner du temps. Vous pouvez également configurer plusieurs vues de l’Observateur d’événements en fonction de vos besoins, pas seulement l’historique de démarrage et d’arrêt.

2. Vérification avec l’invite de commande ou PowerShell

Si vous ne souhaitez pas suivre toutes les étapes ci-dessus, essayez d’utiliser l’invite de commande ou PowerShell pour vérifier les ID d’événement. Vous aurez besoin de connaître le numéro d’identification pour ce faire.

Appuyez sur Win+ Rpour ouvrir la boîte de dialogue Exécuter.
Tapez « cmd » et appuyez sur Ctrl+ Shift+ Enterpour ouvrir l’invite de commande avec des privilèges d’administrateur élevés.

Entrez la commande suivante et remplacez le numéro d’ID d’événement par le numéro que vous souhaitez voir. Dans ce cas, c’est « 6006 ».

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

Taper la commande dans l'invite de commande.

Si vous souhaitez extraire plusieurs codes à la fois, il est plus facile d’utiliser PowerShell. Appuyez sur Win+ Xet sélectionnez « Terminal (Admin) » ou « PowerShell (Admin) » selon votre version de Windows.

Entrez la commande suivante. Remplacez les chiffres entre parenthèses pour inclure les numéros d’ID d’événement souhaités.

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

L’affichage des résultats peut prendre une minute. Cependant, vous remarquerez qu’il est beaucoup plus détaillé que l’invite de commande.

Commande de saisie dans PowerShell avec les résultats affichés.

3. Utilisation de TurnedOnTimesView

TurnedOnTimesView est un outil simple et portable pour analyser le journal des événements pour l’historique de démarrage et d’arrêt. L’utilitaire peut être utilisé pour afficher la liste des heures d’arrêt et de démarrage des ordinateurs locaux ou de tout ordinateur distant connecté au réseau. L’utilitaire fonctionne sur n’importe quelle version de Windows de Windows 2000 à Windows 10. Cela étant dit, il fonctionne également bien sur Windows 11, selon nos tests.

Comme il s’agit d’un outil portable, vous n’aurez qu’à décompresser et exécuter le fichier TurnedOnTimesView.exe.
Il répertorie immédiatement l’heure de démarrage, l’heure d’arrêt, la durée de disponibilité entre chaque démarrage et arrêt, la raison de l’arrêt et le code d’arrêt.

Il affichera également une «raison d’arrêt» qui est généralement associée aux machines Windows Server où vous devez donner une raison si vous arrêtez le serveur. Si vous disposez d’une édition non serveur de Windows, vous ne verrez probablement pas de « raison d’arrêt » répertoriée.

Appuyez sur F9pour accéder aux « Options avancées ».
Sélectionnez « Ordinateur distant » sous « Source de données ».

Spécifiez l’adresse IP ou le nom de l’ordinateur dans le champ « Nom de l’ordinateur » et appuyez sur le bouton « OK ». Maintenant, la liste affichera les détails de l’ordinateur distant.

Bien que vous puissiez toujours utiliser l’observateur d’événements pour une analyse détaillée des temps de démarrage et d’arrêt, TurnedOnTimesView sert l’objectif avec une interface très simple et des données précises.

Si TurnedOnTimesView ne vous convient pas, essayez LastActivityView . Il vient des mêmes développeurs. Non seulement il montre l’activité de démarrage et d’arrêt, mais il indique également si des fichiers et des programmes ont été ouverts, si le système bloque les connexions/déconnexions du réseau, etc. C’est un bon moyen de voir ce qui s’est passé lors d’un démarrage/arrêt inattendu du système si vous travaillez sur un ordinateur Windows 11/10/8/7/Vista.

Une autre option est Shutdown Logger , qui est compatible avec Windows 11/10/8/7 Comme son nom l’indique, il vous indique quand votre PC a été éteint. Cependant, il ajoute quelques fonctionnalités supplémentaires, notamment qui était connecté avant l’arrêt et la disponibilité du PC. Cependant, il n’offre qu’un essai gratuit de 30 jours.

Questions fréquemment posées

Pourquoi mon ordinateur s’est-il éteint de manière inattendue ?

Si vous savez que personne d’autre n’utilisait votre PC, un arrêt inattendu pourrait être inquiétant. Vous verrez généralement l’ID d’événement 6008 si cela s’est produit.

Bien qu’il ne s’agisse pas toujours d’un problème grave, les causes les plus courantes d’arrêts inattendus incluent la surchauffe de votre ordinateur , les problèmes d’alimentation, les pannes de disque dur et même les problèmes de pilote.

Puis-je voir depuis combien de temps j’utilise mon ordinateur ?

Vous pouvez utiliser une application tierce comme Shutdown Logger (mentionnée précédemment) ou profiter de Screen Time, qui est une fonctionnalité intégrée de Windows. Tout ce que vous avez à faire est de configurer Microsoft Family à l’aide de votre compte Microsoft. Vous pouvez ensuite ajouter d’autres utilisateurs à partir de votre PC et voir comment vous et les autres utilisez le PC. Allez dans « Paramètres -> Comptes -> Ouvrir l’application familiale » pour commencer.

Que dois-je faire si je trouve un journal suspect dans l’Observateur d’événements ?

Si quelque chose semble un peu louche, il est peut-être temps de commencer à approfondir les événements de démarrage et d’arrêt suspects. Utilisez ces astuces pour voir si quelqu’un d’autre se connecte à votre ordinateur .

Crédit image : Pexels Toutes les captures d’écran sont de Crystal Crowder.