如何在 Windows 中查看 PC 啟動和關閉歷史記錄

有時，用戶想要了解計算機的啟動和關閉歷史記錄。大多數情況下，系統管理員需要了解歷史記錄以進行故障排除。如果多人使用計算機，檢查 PC 啟動和關閉時間以確保 PC 被合法使用可能是一個很好的安全措施。在本文中，我們討論跟踪電腦關閉和啟動時間的方法。

1. 使用事件日誌提取啟動和關閉時間

Windows 內置的事件查看器是一個很棒的工具，可以保存計算機上發生的各種事件。在每個事件期間，事件查看器都會記錄一個條目。這全部由事件日誌服務處理，無法手動停止或禁用，因為它是 Windows 核心服務。同時，事件查看器會記錄事件日誌服務的啟動和關閉歷史記錄。您可以驗證這些時間以了解計算機的啟動或關閉時間。

事件日誌服務事件使用兩個事件代碼進行記錄。事件 ID 6005 表示事件日誌服務已啟動，事件 ID 6006 表示事件日誌服務已停止。讓我們完成從事件查看器中提取此信息的完整過程。

• 打開事件查看器（按Win+R並輸入“eventvwr”。）

• 在左側窗格中，打開“Windows 日誌 -> 系統”。

• 在中間窗格中，您將獲得 Windows 運行時發生的事件列表。我們的目標是只看到三個事件。我們首先使用“事件 ID”對事件日誌進行排序。您可以左鍵單擊“事件 ID”列進行自動排序，也可以右鍵單擊並選擇“按此列對事件進行排序”進行排序。

• 如果您的事件日誌很大，則排序將不起作用。您還可以從右側的操作窗格創建過濾器。只需單擊“過濾當前日誌”即可。

• 在標記為“<所有事件 ID>”的事件 ID 字段中鍵入“6005、6006”。您還可以在“已記錄”（頂部）下指定時間段。

當您進行調查時，需要檢查幾個重要的事件 ID，包括：

• 事件 ID 41 應顯示“系統已重新啟動，但未先關閉”。如果你的電腦在沒有正確關閉的情況下重新啟動，你就會看到這一點。
• 事件 ID 1074 可能具有不同的消息，具體取決於 PC 的關閉方式。但是，當程序或用戶啟動關閉時，總會發生這種情況。
• 事件 ID 1076 可讓您了解電腦關閉或重新啟動的原因。它可以讓您更深入地了解事情發生的原因。
• 事件 ID 6005 應標記為“事件日誌服務已啟動”。這與系統啟動同義。
• 事件 ID 6006 應標記為“事件日誌服務已停止”。這與系統關閉同義。
• 事件 ID 6008 應顯示“上次系統在 [日期] [時間] 關閉是意外的。” 這是您的電腦在非正常關閉後啟動的標誌。
• 事件 ID 6009 具有不同的消息，具體取決於您的處理器。但是，這意味著您的處理器是在特定時間檢測到的。
• 事件 ID 6013 應顯示“系統正常運行時間為 [時間]”。這顯示您的電腦已運行多長時間。這是以秒為單位的時間。

您還可以設置自定義事件查看器視圖，以便將來能夠快速檢查此信息並節省時間。您還可以根據需要設置多個事件查看器視圖，而不僅僅是啟動和關閉歷史記錄。

2. 使用命令提示符或 PowerShell 檢查

如果您不想執行上述所有步驟，請嘗試使用命令提示符或 PowerShell 檢查事件 ID。您需要知道 ID 號才能執行此操作。

• 按Win+R打開“運行”對話框。
• 輸入“cmd”並按Ctrl+ Shift+Enter以提升的管理員權限打開命令提示符。

• 輸入以下命令並將事件 ID 編號替換為您要查看的編號。在本例中，它是“6006”。

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

• 如果您想一次檢查多個代碼，使用 PowerShell 會更容易。按Win+X並根據您的 Windows 版本選擇“終端（管理員）”或“PowerShell（管理員）”。

• 輸入以下命令。替換括號中的數字以包含您想要的任何事件 ID 號。

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

• 結果可能需要一分鐘才會顯示。但是，您會注意到它比命令提示符詳細得多。

3.使用TurnedOnTimesView

TurnedOnTimesView是一個簡單、便攜的工具，用於分析事件日誌以了解啟動和關閉歷史記錄。該實用程序可用於查看本地計算機或連接到網絡的任何遠程計算機的關閉和啟動時間列表。該實用程序適用於從 Windows 2000 到 Windows 10 的任何 Windows 版本。話雖如此，根據我們的測試，它在 Windows 11 上也能正常運行。

• 由於它是一個便攜式工具，因此您只需解壓縮並執行 TurnedOnTimesView.exe 文件。
• 它會立即列出啟動時間、關閉時間、每次啟動和關閉之間的正常運行時間、關閉原因和關閉代碼。

• 它還會顯示“關閉原因”，該原因通常與 Windows Server 計算機相關，如果要關閉服務器，您必須給出原因。如果您使用的是非服務器版本的 Windows，您可能不會看到列出的“關機原因”。

• 按F9轉到“高級選項”。
• 在“數據源”下選擇“遠程計算機”。

• 在“計算機名稱”字段中指定計算機的 IP 地址或名稱，然後按“確定”按鈕。現在列表將顯示遠程計算機的詳細信息。

雖然您始終可以使用事件查看器來詳細分析啟動和關閉時間，但 TurnedOnTimesView 可以通過非常簡單的界面和直接數據來實現此目的。

如果 TurnedOnTimesView 不太適合您，請嘗試LastActivityView。它來自相同的開發人員。它不僅顯示啟動和關閉活動，還顯示文件和程序是否打開、系統崩潰、網絡連接/斷開等。如果您使用的是 Windows 11/10/8/7/Vista 計算機，這是查看系統意外啟動/關閉期間發生的情況的好方法。

另一個選項是Shutdown Logger，它與 Windows 11/10/8/7 兼容，顧名思義，它會告訴您電腦何時關閉。然而，它增加了一些更好的功能，包括誰在關機之前登錄以及電腦正常運行時間。不過，它只提供 30 天的免費試用期。

經常問的問題

為什麼我的計算機意外關閉？

如果您知道沒有其他人在使用您的電腦，則意外關機可能會令人擔憂。如果發生這種情況，您通常會看到事件 ID 6008。

雖然這並不總是一個嚴重的問題，但意外關機的最常見原因包括計算機過熱、電源問題、硬盤驅動器故障，甚至驅動程序問題。

我可以查看我使用計算機的時間嗎？

您可以使用第三方應用程序，例如“關機記錄器”（前面提到過），或者利用“屏幕時間”，這是 Windows 的內置功能。您所要做的就是使用您的 Microsoft 帳戶設置 Microsoft Family 。然後，您可以從您的電腦添加其他用戶，並查看您和其他人如何使用電腦。前往“設置 -> 帳戶 -> 打開家庭應用程序”即可開始。

如果我在事件查看器中發現可疑日誌，我該怎麼辦？

如果某些事情看起來有點可疑，那麼可能是時候開始深入挖掘可疑的啟動和關閉事件了。使用這些技巧來查看是否有其他人正在登錄您的計算機。

圖片來源：Pexels所有屏幕截圖均由 Crystal Crowder 提供。