Technologie einfach erklärt

Wie man die Start- und Abschaltgeschichte eines PCs in Windows sieht

Wie man die Start- und Abschaltgeschichte eines PCs in Windows sieht

Es gibt Zeiten, in denen ein Benutzer die Start- und Abschaltgeschichte eines Computers wissen möchte. Meistens müssen Systemadministratoren die Historie zu Troubleshooting-Zwecken kennen. Wenn mehrere Personen den Computer nutzen, kann es ein gutes Sicherheitsmaß sein, die Start- und Abschaltzeiten des PCs zu überprüfen, um sicherzustellen, dass der PC legitimerweise genutzt wird. In diesem Artikel erörtern wir Möglichkeiten, um die Abschalt- und Startzeiten Ihres PCs nachzuverfolgen.

Gut zu wissen: erfahren Sie, wie Sie tragbare Apps zum Windows-Start hinzufügen, indem Sie unseren Leitfaden überprüfen.

Inhaltsverzeichnis

    1. Verwendung von Ereignisprotokollen zum Abrufen von Start- und Abschaltzeiten
    1. Überprüfung mit der Eingabeaufforderung oder PowerShell
    1. Verwendung von TurnedOnTimesView
  • Häufig gestellte Fragen

1. Verwendung von Ereignisprotokollen zum Abrufen von Start- und Abschaltzeiten

Der integrierte Ereignisanzeiger von Windows ist ein wunderbares Werkzeug, das alle möglichen Vorkommnisse speichert, die auf dem Computer geschehen. Bei jedem Ereignis protokolliert der Ereignisanzeiger einen Eintrag. Dies wird vom Ereignisprotokolldienst verwaltet, der nicht manuell gestoppt oder deaktiviert werden kann, da es sich um einen Kernservice von Windows handelt. Gleichzeitig protokolliert der Ereignisanzeiger die Start- und Abschaltgeschichte des Ereignisprotokolldienstes. Sie können diese Zeiten überprüfen, um eine Vorstellung davon zu bekommen, wann Ihr Computer gestartet oder heruntergefahren wurde.

Die Ereignisprotokolldienste werden mit zwei Ereigniscodes protokolliert. Die Ereignis-ID 6005 zeigt an, dass der Ereignisprotokolldienst gestartet wurde, und die Ereignis-ID 6006 zeigt an, dass der Ereignisprotokolldienst gestoppt wurde. Lassen Sie uns den gesamten Prozess durchgehen, um diese Informationen aus dem Ereignisanzeiger abzurufen.

  1. Öffnen Sie den Ereignisanzeiger (drücken Sie Win + R und geben Sie “eventvwr” ein.)

Öffnen des Ereignisanzeigers in Windows.

  1. Öffnen Sie im linken Bereich “Windows-Protokolle -> System.”

Klicken auf

  1. Im mittleren Bereich erhalten Sie eine Liste von Ereignissen, die aufgetreten sind, während Windows lief. Unser Ziel ist es, nur drei Ereignisse zu sehen. Lassen Sie uns zunächst das Ereignisprotokoll nach “Ereignis-ID” sortieren. Sie können entweder auf die Spalte “Ereignis-ID” klicken, um sie automatisch zu sortieren, oder mit der rechten Maustaste darauf klicken und “Ereignisse nach dieser Spalte sortieren” auswählen.

Rechtsklick auf die Spalte

  1. Wenn Ihr Ereignisprotokoll umfangreich ist, funktioniert das Sortieren nicht. Sie können auch einen Filter im rechten Aktionsbereich erstellen. Klicken Sie einfach auf “Aktuelles Protokoll filtern.”

Klicken auf die Option

  1. Geben Sie “6005, 6006” in das Feld für die Ereignis-IDs ein, das als “ “ gekennzeichnet ist. Sie können auch den Zeitraum unter “Protokolliert” (oben) angeben.

Hinzufügen von Ereignis-IDs im Fenster

Wenn Sie untersuchen, gibt es mehrere wichtige Ereignis-IDs, die Sie überprüfen sollten, einschließlich:

  • Ereignis-ID 41 sollte sagen “Das System wurde neu gestartet, ohne vorher heruntergefahren zu werden.” Dies sehen Sie, wenn Ihr PC ohne ordnungsgemäßes Herunterfahren neu startet.
  • Ereignis-ID 1074 kann unterschiedliche Nachrichten enthalten, je nachdem, wie der PC heruntergefahren wurde. Es geschieht jedoch immer, wenn ein Programm oder der Benutzer einen Shutdown initiiert.
  • Ereignis-ID 1076 informiert Sie darüber, warum der PC heruntergefahren oder neu gestartet wurde. Es kann Ihnen mehr Einblick geben, warum etwas passiert ist.
  • Ereignis-ID 6005 sollte als “Der Ereignisprotokolldienst wurde gestartet” gekennzeichnet sein. Dies ist gleichbedeutend mit dem Systemstart.
  • Ereignis-ID 6006 sollte als “Der Ereignisprotokolldienst wurde gestoppt” gekennzeichnet sein. Dies ist gleichbedeutend mit dem Herunterfahren des Systems.
  • Ereignis-ID 6008 sollte sagen “Das vorherige Herunterfahren des Systems um [Uhrzeit] am [Datum] war unerwartet.” Dies ist ein Hinweis darauf, dass Ihr PC nach einem ungeordneten Herunterfahren gestartet wurde.
  • Ereignis-ID 6009 hat unterschiedliche Nachrichten, basierend auf Ihrer CPU. Es bedeutet jedoch, dass Ihre CPU zu einem bestimmten Zeitpunkt erkannt wurde.
  • Ereignis-ID 6013 sollte sagen “Die Systembetriebszeit beträgt [Zeit].” Dies zeigt, wie lange Ihr PC eingeschaltet war. Dies ist die Zeit in Sekunden.

Sie können auch benutzerdefinierte Ansichten im Ereignisanzeiger einrichten, um diese Informationen in Zukunft schnell zu überprüfen und Zeit zu sparen. Sie können auch mehrere Ansichten im Ereignisanzeiger basierend auf Ihren Bedürfnissen einrichten, nicht nur die Start- und Abschaltgeschichte.

Tipp: Nicht sicher, wann Sie die Eingabeaufforderung anstelle von PowerShell oder umgekehrt verwenden sollten? Überprüfen Sie die Unterschiede hier.

2. Überprüfung mit der Eingabeaufforderung oder PowerShell

Wenn Sie nicht alle oben genannten Schritte durchgehen möchten, versuchen Sie, die Eingabeaufforderung oder PowerShell zu verwenden, um Ereignis-IDs zu überprüfen. Sie müssen die ID-Nummer wissen, um dies zu tun.

  1. Drücken Sie Win + R, um das Ausführungsdialogfeld zu öffnen.
  2. Geben Sie “cmd” ein und drücken Sie Strg + Umschalt + Eingabetaste, um die Eingabeaufforderung mit erhöhten Administratorrechten zu öffnen.

Eingabe von

  1. Geben Sie den folgenden Befehl ein und ersetzen Sie die Ereignis-ID-Nummer durch die Nummer, die Sie sehen möchten. In diesem Fall ist es “6006.”
wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

Eingeben des Befehls in der Eingabeaufforderung.

  1. Wenn Sie mehrere Codes auf einmal überprüfen möchten, ist es einfacher, PowerShell zu verwenden. Drücken Sie Win + X und wählen Sie “Terminal (Admin)” oder “PowerShell (Admin)” je nach Ihrer Windows-Version.

  2. Geben Sie den folgenden Befehl ein. Ersetzen Sie die Zahlen in den Klammern, um beliebige Ereignis-ID-Nummern einzuschließen, die Sie möchten.

Get-EventLog-LogName System |?{$_.EventID -in(6005,6006,6008,6009,1074,1076)}|ft TimeGenerated,EventId,Message -AutoSize-wrap

Eingeben des Befehls in PowerShell mit angezeigten Ergebnissen.

  1. Es kann einen Moment dauern, bis die Ergebnisse erscheinen. Sie werden jedoch feststellen, dass es weitaus detaillierter ist als die Eingabeaufforderung.

Eingeben des Befehls in PowerShell mit angezeigten Ergebnissen.

FYI: Brauchen Sie weitere Informationen zum Ereignisanzeiger? Wir zeigen Ihnen, wie Sie ihn ausführlich nutzen.

3. Verwendung von TurnedOnTimesView

TurnedOnTimesView ist ein einfaches, tragbares Tool zur Analyse des Ereignisprotokolls für Start- und Abschaltgeschichten. Das Dienstprogramm kann verwendet werden, um die Liste der Abschalt- und Startzeiten lokaler Computer oder eines jeden entfernten Computers im Netzwerk anzuzeigen. Das Dienstprogramm funktioniert mit jeder Windows-Version von Windows 2000 bis Windows 10. Das gesagt, es funktioniert auch gut unter Windows 11, wie unsere Tests zeigen.

  1. Da es sich um ein tragbares Tool handelt, müssen Sie nur die Datei TurnedOnTimesView.exe entpacken und ausführen.
  2. Es wird sofort die Startzeit, die Abschaltzeit, die Betriebsdauer zwischen jedem Start und Herunterfahren, den Grund für das Herunterfahren und den Abschaltcode auflisten.

TurnedOnTimesView-Programm in Aktion.

  1. Es wird auch einen “Shutdown Reason” anzeigen, der normalerweise mit Windows-Server-Maschinen verbunden ist, bei denen Sie einen Grund angeben müssen, wenn Sie den Server herunterfahren. Wenn Sie eine Non-Server-Edition von Windows haben, sehen Sie wahrscheinlich keinen “Shutdown Reason”.

  2. Drücken Sie F9, um zu “Erweiterte Optionen” zu gelangen.

  3. Wählen Sie “Remote-Computer” unter “Datenquelle”.

Wechseln zur Option

  1. Geben Sie die IP-Adresse oder den Namen des Computers im Feld “Computername” ein und drücken Sie die Schaltfläche “OK”. Jetzt zeigt die Liste die Details des entfernten Computers an.

Spezifizieren der IP-Adresse unter

Während Sie immer den Ereignisanzeiger für eine detaillierte Analyse der Start- und Abschaltzeiten verwenden können, dient TurnedOnTimesView mit einer sehr einfachen Benutzeroberfläche und präzisen Daten dem Zweck.

Wenn TurnedOnTimesView nicht ganz richtig für Sie ist, versuchen Sie LastActivityView. Es stammt von denselben Entwicklern. Es zeigt nicht nur die Start- und Abschaltaktivitäten, sondern auch, ob Dateien und Programme geöffnet wurden, Systemabstürze, Netzwerkverbindungen/-trennungen und mehr. Es ist eine gute Möglichkeit zu sehen, was während eines unerwarteten Systemstarts/-abschaltens passiert ist, wenn Sie an einem Windows 11/10/8/7/Vista-Computer arbeiten.

Eine andere Option ist Shutdown Logger, der mit Windows 11/10/8/7 kompatibel ist. Wie der Name schon sagt, zeigt es Ihnen, wann Ihr PC heruntergefahren wurde. Es fügt jedoch einige weitere nützliche Funktionen hinzu, einschließlich, wer vor dem Herunterfahren angemeldet war und die Betriebszeit des PCs. Es bietet jedoch nur eine 30-tägige kostenlose Testversion.

Tipp: Es gibt viele Modi, um Ihren Computer in den Pausenmodus zu versetzen. Überprüfen Sie die Unterschiede zwischen Herunterfahren vs. Schlafmodus vs. Ruhezustand, um zu entscheiden, was für Sie richtig ist.

Häufig gestellte Fragen

Warum wurde mein Computer unerwartet heruntergefahren?

Wenn Sie wissen, dass sonst niemand Ihren PC verwendet hat, könnte ein unerwartetes Herunterfahren besorgniserregend sein. In der Regel sehen Sie Ereignis-ID 6008, wenn dies geschehen ist.

Es ist nicht immer ein ernsthaftes Problem, aber die häufigsten Ursachen für unerwartete Herunterfahrten sind Überhitzung des Computers, Stromprobleme, Festplattenfehler und sogar Treiberprobleme.

Kann ich sehen, wie lange ich meinen Computer verwendet habe?

Sie könnten eine Drittanbieter-App wie Shutdown Logger (vorher erwähnt) verwenden oder die Bildschirmzeit nutzen, die eine integrierte Funktion von Windows ist. Alles, was Sie tun müssen, ist, Microsoft Family mit Ihrem Microsoft-Konto einzurichten. Sie können dann andere Benutzer von Ihrem PC hinzufügen und sehen, wie Sie und andere den PC verwenden. Gehen Sie zu “Einstellungen -> Konten -> Familien-App öffnen”, um loszulegen.

Was soll ich tun, wenn ich ein verdächtiges Protokoll im Ereignisanzeiger finde?

Wenn etwas ein wenig merkwürdig aussieht, könnte es an der Zeit sein, tiefer in verdächtige Start- und Abschaltereignisse einzutauchen. Verwenden Sie diese Tricks, um zu sehen, ob jemand anderes in Ihren Computer einloggt.

Inhalt

  1. 1. Verwendung von Ereignisprotokollen zum Abrufen von Start- und Abschaltzeiten
  2. 2. Überprüfung mit der Eingabeaufforderung oder PowerShell
  3. 3. Verwendung von TurnedOnTimesView
  4. Häufig gestellte Fragen
  5. Warum wurde mein Computer unerwartet heruntergefahren?
  6. Kann ich sehen, wie lange ich meinen Computer verwendet habe?
  7. Was soll ich tun, wenn ich ein verdächtiges Protokoll im Ereignisanzeiger finde?
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11