Comment voir l'historique de démarrage et d'arrêt du PC sous Windows

Il arrive parfois qu’un utilisateur veuille connaître l’historique de démarrage et d’arrêt d’un ordinateur. La plupart du temps, les administrateurs système ont besoin de cette information à des fins de dépannage. Si plusieurs personnes utilisent l’ordinateur, il peut être judicieux de vérifier les heures de démarrage et d’arrêt du PC pour s’assurer qu’il est utilisé de manière légitime. Dans cet article, nous discutons des moyens de suivre les heures d’arrêt et de démarrage de votre PC.

Bon à savoir : apprenez à ajouter des applications portables au démarrage de Windows en consultant notre guide.

Table des matières

• 1. Utilisation des journaux d’événements pour extraire les heures de démarrage et d’arrêt
• 2. Vérification avec l’invite de commandes ou PowerShell
• 3. Utilisation de TurnedOnTimesView
• Questions fréquentes

1. Utilisation des journaux d’événements pour extraire les heures de démarrage et d’arrêt

Le Visualisateur d’événements intégré de Windows est un outil merveilleux qui enregistre tous les types d’occurrences sur l’ordinateur. À chaque événement, le Visuelisateur d’événements enregistre une entrée. Tout cela est géré par le service ‘eventlog’ qui ne peut pas être arrêté ou désactivé manuellement, car c’est un service central de Windows. En même temps, le Visualisateur d’événements enregistre l’historique de démarrage et d’arrêt du service ‘eventlog’. Vous pouvez vérifier ces heures pour avoir une idée de quand votre ordinateur a été démarré ou arrêté.

Les événements du service ‘eventlog’ sont enregistrés avec deux codes d’événements. L’ID d’événement 6005 indique que le service ‘eventlog’ a été démarré, et l’ID d’événement 6006 indique que le service ‘eventlog’ a été arrêté. Passons en revue le processus complet pour extraire ces informations du Visualisateur d’événements.

1. Ouvrez le Visualisateur d’événements (appuyez sur Win + R et tapez “eventvwr.”)

1. Dans le panneau de gauche, ouvrez “Journaux Windows -> Système.”

1. Dans le panneau du milieu, vous obtiendrez une liste des événements qui se sont produits pendant que Windows fonctionnait. Notre objectif est de voir uniquement trois événements. Commençons par trier le journal des événements par “ID d’événement.” Vous pouvez soit cliquer à gauche sur la colonne “ID d’événement” pour trier automatiquement, soit faire un clic droit et sélectionner “Trier les événements par cette colonne” pour trier.

1. Si votre journal d’événements est énorme, alors le tri ne fonctionnera pas. Vous pouvez également créer un filtre à partir du panneau d’actions sur le côté droit. Il vous suffit de cliquer sur “Filtrer le journal actuel.”

1. Tapez “6005, 6006” dans le champ IDs d’événements étiqueté comme “.” Vous pouvez également spécifier la période de temps sous “Enregistré” (en haut.)

Lorsque vous enquêtez, il y a plusieurs ID d’événements importants à vérifier, y compris :

• L’ID d’événement 41 devrait indiquer “Le système a redémarré sans s’arrêter d’abord.” Vous verrez cela si votre PC redémarre sans un arrêt approprié.
• L’ID d’événement 1074 peut avoir des messages variés selon la façon dont le PC a été arrêté. Cependant, cela se produit toujours lorsqu’un programme ou l’utilisateur engage un arrêt.
• L’ID d’événement 1076 vous informe pourquoi le PC a été arrêté ou redémarré. Cela peut vous donner plus d’informations sur les raisons d’un événement.
• L’ID d’événement 6005 devrait être étiqueté comme “Le service de journal des événements a été démarré.” Cela est synonyme de démarrage du système.
• L’ID d’événement 6006 devrait être étiqueté comme “Le service de journal des événements a été arrêté.” Cela est synonyme d’arrêt du système.
• L’ID d’événement 6008 devrait indiquer “Le précédent arrêt système à [heure] le [date] était inattendu.” Cela est le signe que votre PC a démarré après un arrêt inapproprié.
• L’ID d’événement 6009 a des messages variés en fonction de votre processeur. Cependant, cela signifie que votre processeur a été détecté à un moment spécifique.
• L’ID d’événement 6013 devrait indiquer “Le temps de fonctionnement du système est [temps].” Cela montre combien de temps votre PC a été allumé. C’est le temps en secondes.

Vous pouvez également configurer des vues personnalisées dans le Visualisateur d’événements pour vérifier rapidement ces informations à l’avenir. Vous pouvez également configurer plusieurs vues du Visualisateur d’événements selon vos besoins, pas seulement l’historique de démarrage et d’arrêt.

Conseil : Vous n’êtes pas sûr du moment où vous devez utiliser l’invite de commandes plutôt que PowerShell ou vice-versa ? Découvrez les différences ici.

2. Vérification avec l’invite de commandes ou PowerShell

Si vous ne voulez pas passer par tous les étapes ci-dessus, essayez d’utiliser l’invite de commandes ou PowerShell pour vérifier les IDs d’événements. Vous devrez connaître le numéro d’ID pour le faire.

1. Appuyez sur Win + R pour ouvrir la boîte de dialogue Exécuter.
2. Tapez “cmd” et appuyez sur Ctrl + Shift + Entrée pour ouvrir l’invite de commandes avec des privilèges administratifs élevés.

1. Entrez la commande suivante et remplacez le numéro d’ID d’événement par celui que vous souhaitez voir. Dans ce cas, c’est “6006.”

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

1. Si vous souhaitez contrôler plusieurs codes à la fois, il est plus facile d’utiliser PowerShell. Appuyez sur Win + X et sélectionnez “Terminal (Admin)” ou “PowerShell (Admin)” en fonction de votre version de Windows.

2. Entrez la commande suivante. Remplacez les numéros dans les crochets pour inclure tous les numéros d’ID d’événement que vous souhaitez.

Get-EventLog-LogName System |?{$_.EventID -in(6005,6006,6008,6009,1074,1076)}|ft TimeGenerated,EventId,Message -AutoSize-wrap

1. Il peut falloir une minute pour que les résultats apparaissent. Cependant, vous remarquerez que c’est beaucoup plus détaillé que l’invite de commandes.

Pour votre information : Besoin de plus d’informations concernant le Visualisateur d’événements ? Nous vous montrons comment l’utiliser en profondeur.

3. Utilisation de TurnedOnTimesView

TurnedOnTimesView est un utilitaire simple et portable pour analyser le journal des événements concernant l’historique de démarrage et d’arrêt. L’outil peut être utilisé pour visualiser la liste des heures d’arrêt et de démarrage des ordinateurs locaux ou de tout ordinateur distant connecté au réseau. L’utilitaire fonctionne sur toutes les versions de Windows, de Windows 2000 à Windows 10. Cela dit, il fonctionne également bien sur Windows 11, d’après nos tests.

1. Comme c’est un outil portable, vous n’aurez qu’à dézipper et exécuter le fichier TurnedOnTimesView.exe.
2. Il affichera immédiatement l’heure de démarrage, l’heure d’arrêt, la durée de fonctionnement entre chaque démarrage et arrêt, la raison de l’arrêt et le code d’arrêt.

1. Il affichera également une “Raison d’arrêt” qui est généralement associée aux machines Windows Server où vous devez donner une raison lorsque vous arrêtez le serveur. Si vous avez une édition non-serveur de Windows, vous ne verrez probablement pas de “Raison d’arrêt” listée.

2. Appuyez sur F9 pour accéder à “Options avancées.”

3. Sélectionnez “Ordinateur distant” sous “Source de données.”

1. Spécifiez l’adresse IP ou le nom de l’ordinateur dans le champ “Nom de l’ordinateur” et appuyez sur le bouton “OK”. Maintenant, la liste affichera les détails de l’ordinateur distant.

Bien que vous puissiez toujours utiliser le visualisateur d’événements pour une analyse détaillée des heures de démarrage et d’arrêt, TurnedOnTimesView remplit son rôle avec une interface très simple et des données précises.

Si TurnedOnTimesView ne vous convient pas tout à fait, essayez LastActivityView. Il provient des mêmes développeurs. Non seulement il montre l’activité de démarrage et d’arrêt, mais il montre également si des fichiers et des programmes ont été ouverts, des pannes système, des connexions/déconnexions réseau, et plus encore. C’est un bon moyen de voir ce qui s’est passé pendant un démarrage/arrêt de système inattendu si vous travaillez sur un ordinateur Windows 11/10/8/7/Vista.

Une autre option est Shutdown Logger, qui est compatible avec Windows 11/10/8/7. Comme son nom l’indique, il vous indique quand votre PC a été arrêté. Cependant, il ajoute quelques fonctionnalités supplémentaires intéressantes, notamment qui était connecté avant l’arrêt et le temps de fonctionnement du PC. Il ne propose qu’un essai gratuit de 30 jours.

Conseil : il existe de nombreux modes pour mettre votre ordinateur en pause. Consultez les différences entre arrêt, veille, et hibernation pour décider lequel est le mieux adapté pour vous.

Questions fréquentes

Pourquoi mon ordinateur s’est-il arrêté de manière inattendue ?

Si vous savez que personne d’autre n’utilisait votre PC, un arrêt inattendu peut être préoccupant. Vous verrez généralement l’ID d’événement 6008 si cela s’est produit.

Bien que ce ne soit pas toujours un problème sérieux, les causes les plus courantes des arrêts inattendus incluent une surchauffe de votre ordinateur, des problèmes d’alimentation, des défaillances de disque dur, et même des problèmes de pilote.

Puis-je voir combien de temps j’ai utilisé mon ordinateur ?

Vous pouvez utiliser une application tierce comme Shutdown Logger (mentionnée précédemment), ou profiter de Screen Time, qui est une fonctionnalité intégrée de Windows. Tout ce que vous avez à faire est de configurer Microsoft Family en utilisant votre compte Microsoft. Vous pouvez ensuite ajouter d’autres utilisateurs de votre PC et voir comment vous et les autres utilisez le PC. Allez dans “Paramètres -> Comptes -> Ouvrir l’application Family” pour commencer.

Que dois-je faire si je trouve un journal suspect dans le Visualisateur d’événements ?

Si quelque chose semble un peu louche, il pourrait être temps de commencer à creuser plus profondément dans les événements de démarrage et d’arrêt suspects. Utilisez ces astuces pour voir si quelqu’un d’autre se connecte à votre ordinateur.