×
Outbyte PC Repair
Outbyte Driver Updater

Jak wyświetlić historię uruchamiania i wyłączania komputera w systemie Windows

2023/07/05
Jak wyświetlić historię uruchamiania i wyłączania komputera w systemie Windows

Są chwile, kiedy użytkownik chce poznać historię uruchamiania i wyłączania komputera. Głównie administratorzy systemu muszą znać historię w celu rozwiązywania problemów. Jeśli z komputera korzysta wiele osób, dobrym środkiem bezpieczeństwa może być sprawdzenie czasu uruchamiania i wyłączania komputera, aby upewnić się, że komputer jest używany zgodnie z prawem. W tym artykule omawiamy sposoby śledzenia czasów wyłączania i uruchamiania komputera.

1. Używanie dzienników zdarzeń do wyodrębniania czasów uruchamiania i wyłączania

Wbudowany Podgląd zdarzeń systemu Windows to wspaniałe narzędzie, które zapisuje wszelkiego rodzaju zdarzenia, które mają miejsce na komputerze. Podczas każdego zdarzenia Podgląd zdarzeń rejestruje wpis. Wszystko to jest obsługiwane przez usługę dziennika zdarzeń, której nie można zatrzymać ani wyłączyć ręcznie, ponieważ jest to podstawowa usługa systemu Windows. Jednocześnie Podgląd zdarzeń rejestruje historię uruchamiania i zamykania usługi dziennika zdarzeń. Możesz zweryfikować te czasy, aby zorientować się, kiedy komputer został uruchomiony lub wyłączony.

Zdarzenia usługi dziennika zdarzeń są rejestrowane za pomocą dwóch kodów zdarzeń. Identyfikator zdarzenia 6005 wskazuje, że usługa dziennika zdarzeń została uruchomiona, a identyfikator zdarzenia 6006 wskazuje, że usługa dziennika zdarzeń została zatrzymana. Przejdźmy przez cały proces wyodrębniania tych informacji z Podglądu zdarzeń.

  • Otwórz Podgląd zdarzeń (naciśnij Win+ Ri wpisz „eventvwr”)
Otwieranie Podglądu zdarzeń w systemie Windows.
  • W lewym okienku otwórz „Dzienniki systemu Windows -> System”.
Kliknięcie
  • W środkowym okienku pojawi się lista zdarzeń, które miały miejsce podczas działania systemu Windows. Naszym celem jest zobaczenie tylko trzech wydarzeń. Najpierw posortujmy dziennik zdarzeń według „Identyfikatora zdarzenia”. Możesz kliknąć lewym przyciskiem myszy kolumnę „Identyfikator zdarzenia”, aby automatycznie posortować, lub kliknąć prawym przyciskiem myszy i wybrać „Sortuj zdarzenia według tej kolumny”, aby posortować.
Kliknięcie prawym przyciskiem myszy
  • Jeśli twój dziennik zdarzeń jest ogromny, sortowanie nie będzie działać. Możesz także utworzyć filtr z okienka działań po prawej stronie. Po prostu kliknij „Filtruj bieżący dziennik”.
Kliknięcie
  • Wpisz „6005, 6006” w polu Identyfikatory zdarzeń oznaczonym jako „<Wszystkie identyfikatory zdarzeń>”. Możesz także określić przedział czasu w sekcji „Zalogowane” (u góry).
Dodawanie identyfikatorów zdarzeń w

Podczas dochodzenia należy sprawdzić kilka ważnych identyfikatorów zdarzeń, w tym:

  • Zdarzenie o identyfikatorze 41 powinno zawierać komunikat „System został ponownie uruchomiony bez uprzedniego zamknięcia”. Zobaczysz to, jeśli komputer uruchomi się ponownie bez prawidłowego wyłączenia.
  • Zdarzenie o identyfikatorze 1074 może zawierać różne komunikaty w zależności od sposobu wyłączenia komputera. Jednak zawsze dzieje się tak, gdy program lub użytkownik inicjuje zamknięcie.
  • Identyfikator zdarzenia 1076 informuje, dlaczego komputer został wyłączony lub uruchomiony ponownie. Może dać ci lepszy wgląd w to, dlaczego coś się stało.
  • Identyfikator zdarzenia 6005 powinien być oznaczony jako „Usługa dziennika zdarzeń została uruchomiona”. Jest to równoznaczne z uruchomieniem systemu.
  • Identyfikator zdarzenia 6006 powinien być oznaczony jako „Usługa dziennika zdarzeń została zatrzymana”. Jest to równoznaczne z wyłączeniem systemu.
  • Identyfikator zdarzenia 6008 powinien zawierać komunikat „Poprzednie zamknięcie systemu o [godzina] w dniu [data] było nieoczekiwane”. To znak, że komputer uruchomił się po nieprawidłowym zamknięciu.
  • Identyfikator zdarzenia 6009 zawiera różne komunikaty w zależności od procesora. Oznacza to jednak, że procesor został wykryty w określonym czasie.
  • Zdarzenie o identyfikatorze 6013 powinno zawierać komunikat „Czas pracy systemu to [czas.]”. Pokazuje, jak długo komputer był włączony. To jest czas w sekundach.

Możesz także skonfigurować niestandardowe widoki Podglądu zdarzeń, aby móc szybko sprawdzić te informacje w przyszłości i zaoszczędzić czas. Możesz także skonfigurować wiele widoków Podglądu zdarzeń w zależności od potrzeb, a nie tylko historię uruchamiania i zamykania.

2. Sprawdzanie za pomocą wiersza polecenia lub programu PowerShell

Jeśli nie chcesz wykonywać wszystkich powyższych kroków, spróbuj użyć wiersza polecenia lub programu PowerShell, aby sprawdzić identyfikatory zdarzeń. Aby to zrobić, musisz znać numer identyfikacyjny.

  • Naciśnij Win+ R, aby otworzyć okno dialogowe Uruchom.
  • Wpisz „cmd” i naciśnij Ctrl+ Shift+ Enter, aby otworzyć wiersz polecenia z podwyższonymi uprawnieniami administratora.
Pisanie na maszynie
  • Wprowadź następujące polecenie i zastąp numer identyfikacyjny zdarzenia numerem, który chcesz zobaczyć. W tym przypadku jest to „6006”.

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

Wpisywanie polecenia w wierszu polecenia.
  • Jeśli chcesz sprawdzić wiele kodów jednocześnie, łatwiej jest użyć programu PowerShell. Naciśnij Win+ Xi wybierz „Terminal (administrator)” lub „PowerShell (administrator)” w zależności od wersji systemu Windows.
Kliknięcie
  • Wprowadź następujące polecenie. Zastąp liczby w nawiasach, aby zawierały dowolne numery identyfikatorów zdarzeń.

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

Wpisanie polecenia w PowerShell.
  • Wyświetlenie wyników może zająć minutę. Zauważysz jednak, że jest o wiele bardziej szczegółowy niż wiersz polecenia.
Wpisanie polecenia w programie PowerShell z wyświetlonymi wynikami.

3. Korzystanie z TurnedOnTimesView

TurnedOnTimesView to proste, przenośne narzędzie do analizy dziennika zdarzeń pod kątem historii uruchamiania i wyłączania. Narzędzie może służyć do przeglądania listy czasów wyłączania i uruchamiania komputerów lokalnych lub dowolnego komputera zdalnego podłączonego do sieci. Narzędzie działa na dowolnej wersji systemu Windows, od Windows 2000 do Windows 10. To powiedziawszy, działa również dobrze w systemie Windows 11, zgodnie z naszymi testami.

  • Ponieważ jest to narzędzie przenośne, wystarczy rozpakować i uruchomić plik TurnedOnTimesView.exe.
  • Natychmiast wyświetli czas uruchomienia, czas wyłączenia, czas pracy między każdym uruchomieniem a wyłączeniem, przyczynę wyłączenia i kod wyłączenia.
Program TurnedOnTimesView w akcji.
  • Wyświetli również „Powód zamknięcia”, który jest zwykle powiązany z komputerami z systemem Windows Server, gdzie musisz podać powód, jeśli zamykasz serwer. Jeśli masz nieserwerową wersję systemu Windows, prawdopodobnie nie zobaczysz na liście „Powód zamknięcia”.
  • Naciśnij F9, aby przejść do „Opcji zaawansowanych”.
  • Wybierz „Zdalny komputer” w „Źródle danych”.
Przełączać na
  • Podaj adres IP lub nazwę komputera w polu „Nazwa komputera” i naciśnij przycisk „OK”. Teraz lista pokaże szczegóły komputera zdalnego.
Określanie adresu IP w

Chociaż zawsze możesz użyć przeglądarki zdarzeń do szczegółowej analizy czasów uruchamiania i wyłączania, TurnedOnTimesView służy temu celowi dzięki bardzo prostemu interfejsowi i precyzyjnym danym.

Jeśli TurnedOnTimesView nie jest dla Ciebie odpowiedni, wypróbuj LastActivityView . Pochodzi od tych samych programistów. Nie tylko pokazuje aktywność uruchamiania i zamykania, ale także pokazuje, czy pliki i programy były otwierane, system zawiesza połączenia/rozłączenia sieciowe i więcej. To dobry sposób na sprawdzenie, co się stało podczas nieoczekiwanego uruchomienia/zamknięcia systemu, jeśli pracujesz na komputerze z systemem Windows 11/10/8/7/Vista.

Inną opcją jest Shutdown Logger , który jest zgodny z Windows 11/10/8/7 Jak sama nazwa wskazuje, informuje, kiedy komputer został wyłączony. Dodaje jednak kilka innych fajnych funkcji, w tym kto był zalogowany przed wyłączeniem i czas pracy komputera. Oferuje jednak tylko 30-dniowy bezpłatny okres próbny.

Często Zadawane Pytania

Dlaczego mój komputer nieoczekiwanie się wyłączył?

Jeśli wiesz, że nikt inny nie korzystał z Twojego komputera, nieoczekiwane wyłączenie może być niepokojące. Jeśli tak się stanie, zwykle zobaczysz zdarzenie o identyfikatorze 6008.

Chociaż nie zawsze jest to poważny problem, najczęstsze przyczyny nieoczekiwanych wyłączeń obejmują przegrzanie komputera , problemy z zasilaniem, awarie dysków twardych, a nawet problemy ze sterownikami.

Czy mogę sprawdzić, jak długo korzystam z komputera?

Możesz użyć aplikacji innej firmy, takiej jak Shutdown Logger (wspomniana wcześniej) lub skorzystać z funkcji Screen Time, która jest wbudowaną funkcją systemu Windows. Wszystko, co musisz zrobić, to skonfigurować Microsoft Family przy użyciu swojego konta Microsoft. Następnie możesz dodać innych użytkowników ze swojego komputera i zobaczyć, jak ty i inni korzystacie z komputera. Przejdź do „Ustawienia -> Konta -> Otwórz aplikację rodzinną”, aby rozpocząć.

Co powinienem zrobić, jeśli znajdę podejrzany dziennik w Podglądzie zdarzeń?

Jeśli coś wydaje się trochę podejrzane, być może nadszedł czas, aby zacząć głębiej zagłębiać się w podejrzane zdarzenia uruchamiania i zamykania. Skorzystaj z tych sztuczek, aby sprawdzić, czy ktoś inny nie loguje się do Twojego komputera .

Źródło obrazu: Pexels Wszystkie zrzuty ekranu autorstwa Crystal Crowder.

Outbyte PC Repair
Outbyte Driver Updater

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *