Come vedere la cronologia di avvio e spegnimento del PC in Windows

Ci sono momenti in cui un utente vuole conoscere la cronologia di avvio e spegnimento di un computer. In genere, gli amministratori di sistema hanno bisogno di conoscere la cronologia per scopi di risoluzione dei problemi. Se più persone utilizzano il computer, può essere una buona misura di sicurezza controllare gli orari di avvio e spegnimento del PC per assicurarsi che venga utilizzato in modo legittimo. In questo articolo, discutiamo i modi per tenere traccia degli orari di spegnimento e avvio del tuo PC.

Buono a sapere: scopri come aggiungere app portatili all’avvio di Windows consultando la nostra guida.

Indice

• 1. Utilizzo dei registri eventi per estrarre gli orari di avvio e spegnimento
• 2. Controllo tramite Prompt dei comandi o PowerShell
• 3. Utilizzo di TurnedOnTimesView
• Domande frequenti

1. Utilizzo dei registri eventi per estrarre gli orari di avvio e spegnimento

Il Visualizzatore eventi integrato di Windows è uno strumento meraviglioso che salva tutti i tipi di eventi che si verificano sul computer. Durante ciascun evento, il Visualizzatore eventi registra un’entrata. Questo è gestito interamente dal servizio eventlog che non può essere arrestato o disabilitato manualmente, poiché è un servizio essenziale di Windows. Allo stesso tempo, il Visualizzatore eventi registra la cronologia degli avvii e degli arresti del servizio eventlog. Puoi verificare quegli orari per avere un’idea di quando il computer è stato avviato o spento.

Gli eventi del servizio eventlog sono registrati con due codici di evento. L’ID evento 6005 indica che il servizio eventlog è stato avviato, e l’ID evento 6006 indica che il servizio eventlog è stato arrestato. Procediamo con il processo completo per estrarre queste informazioni dal Visualizzatore eventi.

1. Apri il Visualizzatore eventi (premi Win + R e digita “eventvwr.”)

1. Nel riquadro sinistro, apri “Registri di Windows -> Sistema.”

1. Nel riquadro centrale, otterrai un elenco di eventi che si sono verificati mentre Windows era in esecuzione. Il nostro obiettivo è vedere solo tre eventi. Iniziamo ordinando il registro eventi con “ID evento.” Puoi fare clic a sinistra sulla colonna “ID evento” per ordinare automaticamente o fare clic destro e selezionare “Ordina eventi in base a questa colonna” per ordinare.

1. Se il tuo registro eventi è enorme, allora l’ordinamento potrebbe non funzionare. Puoi anche creare un filtro dalla barra delle azioni sul lato destro. Clicca semplicemente su “Filtra registro corrente.”

1. Digita “6005, 6006” nel campo ID eventi contrassegnato come “.” Puoi anche specificare il periodo di tempo sotto “Registrato” (nella parte superiore).

Quando stai indagando, ci sono diversi ID evento importanti da controllare, tra cui:

• L’ID evento 41 dovrebbe dire “Il sistema è stato riavviato senza spegnimento prima.” Vedrai questo se il tuo PC si riavvia senza un arresto corretto.
• L’ID evento 1074 può avere messaggi variabili a seconda di come è stato spento il PC. Tuttavia, si verifica sempre quando un programma o l’utente avvia un arresto.
• L’ID evento 1076 ti informa sul motivo per cui il PC è stato spento o riavviato. Può fornirti ulteriori informazioni su perché è accaduto qualcosa.
• L’ID evento 6005 dovrebbe essere etichettato come “Il servizio registro eventi è stato avviato.” Questo è sinonimo di avvio del sistema.
• L’ID evento 6006 dovrebbe essere etichettato come “Il servizio registro eventi è stato arrestato.” Questo è sinonimo di spegnimento del sistema.
• L’ID evento 6008 dovrebbe dire “Il precedente spegnimento del sistema a [ora] del [data] è stato imprevisto.” Questo è un segno che il tuo PC è partito dopo uno spegnimento improprio.
• L’ID evento 6009 ha messaggi variabili in base al tuo processore. Tuttavia, significa che il tuo processore è stato rilevato a un orario specifico.
• L’ID evento 6013 dovrebbe dire “Il tempo di attività del sistema è [tempo].” Questo mostra per quanto tempo il tuo PC è stato acceso. Questo è il tempo in secondi.

Puoi anche impostare visualizzazioni personalizzate nel Visualizzatore eventi per controllare rapidamente queste informazioni in futuro e risparmiare tempo. Puoi anche impostare più visualizzazioni del Visualizzatore eventi in base alle tue esigenze, non solo la cronologia di avvio e spegnimento.

Suggerimento: non sei sicuro di quando dovresti usare il Prompt dei comandi rispetto a PowerShell o viceversa? Controlla le differenze qui.

2. Controllo tramite Prompt dei comandi o PowerShell

Se non vuoi seguire tutti i passaggi sopra, prova a utilizzare il Prompt dei comandi o PowerShell per controllare gli ID evento. Dovrai conoscere il numero ID per farlo.

1. Premi Win + R per aprire la finestra di esecuzione.
2. Digita “cmd” e premi Ctrl + Shift + Enter per aprire il Prompt dei comandi con privilegi di amministratore elevati.

1. Inserisci il seguente comando e sostituisci il numero ID evento con il numero che desideri vedere. In questo caso, è “6006.”

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

1. Se desideri controllare più codici contemporaneamente, è più facile utilizzare PowerShell. Premi Win + X e seleziona “Terminale (Amministratore)” o “PowerShell (Amministratore)” a seconda della tua versione di Windows.

2. Inserisci il seguente comando. Sostituisci i numeri nelle parentesi per includere eventuali numeri di ID evento che desideri.

Get-EventLog -LogName System | ? { $._.EventID -in (6005,6006,6008,6009,1074,1076) } | ft TimeGenerated, EventId, Message -AutoSize -wrap

1. Potrebbe volerci un minuto perché i risultati appaiano. Tuttavia, noterai che è molto più dettagliato rispetto al Prompt dei comandi.

FYI: Cerchi più informazioni sul Visualizzatore eventi? Ti mostriamo come utilizzarlo in modo approfondito.

3. Utilizzo di TurnedOnTimesView

TurnedOnTimesView è uno strumento semplice e portatile per analizzare il registro eventi per la cronologia di avvio e spegnimento. L’utility può essere utilizzata per visualizzare l’elenco degli orari di spegnimento e avvio dei computer locali o di qualsiasi computer remoto connesso alla rete. L’utility funziona su qualsiasi versione di Windows da Windows 2000 a Windows 10. Detto questo, funziona anche bene su Windows 11, secondo i nostri test.

1. Poiché è uno strumento portatile, devi semplicemente estrarre ed eseguire il file TurnedOnTimesView.exe.
2. Elencherà immediatamente l’orario di avvio, l’orario di spegnimento, la durata di attività tra ogni avvio e spegnimento, il motivo dello spegnimento e il codice dello spegnimento.

1. Mostrerà anche un “Motivo di spegnimento” che è solitamente associato alle macchine Windows Server dove devi fornire un motivo se stai spegnendo il server. Se disponi di una edizione non server di Windows, probabilmente non vedrai alcun “Motivo di spegnimento” elencato.

2. Premi F9 per andare su “Opzioni avanzate.”

3. Seleziona “Computer remoto” sotto “Sorgente dati.”

1. Specifica l’indirizzo IP o il nome del computer nel campo “Nome computer” e premi il pulsante “OK”. Ora l’elenco mostrerà i dettagli del computer remoto.

Mentre puoi sempre utilizzare il visualizzatore eventi per un’analisi dettagliata degli orari di avvio e spegnimento, TurnedOnTimesView svolge il suo compito con un’interfaccia molto semplice e dati diretti.

Se TurnedOnTimesView non è proprio adatto a te, prova LastActivityView. Proviene dallo stesso sviluppatore. Non solo mostra l’attività di avvio e spegnimento, ma mostra anche se file e programmi sono stati aperti, crash di sistema, connessioni/disconnessioni di rete e altro ancora. È un buon modo per vedere cosa è successo durante un avvio/spegnimento del sistema imprevisto se stai lavorando su un computer Windows 11/10/8/7/Vista.

Un’altra opzione è Shutdown Logger, che è compatibile con Windows 11/10/8/7. Come suggerisce il nome, ti dice quando il tuo PC è stato spento. Tuttavia, offre alcune caratteristiche in più, tra cui chi era connesso prima dello spegnimento e il tempo di attività del PC. Offre solo una prova gratuita di 30 giorni, però.

Suggerimento: ci sono molti modi per mettere in pausa il computer. Controlla le differenze tra spegnere, sospendere e ibernare per decidere quale fa per te.

Domande frequenti

Perché il mio computer si è spento in modo imprevisto?

Se sai che nessun altro stava usando il tuo PC, uno spegnimento imprevisto potrebbe essere preoccupante. Di solito vedrai l’ID evento 6008 se ciò è accaduto.

Sebbene non sia sempre un problema serio, le cause più comuni di spegnimenti imprevisti includono surriscaldamento del computer, problemi di alimentazione, guasti del disco rigido e persino problemi di driver.

Posso vedere per quanto tempo ho utilizzato il computer?

Puoi utilizzare un’app di terze parti come Shutdown Logger (menzionata in precedenza) o sfruttare Screen Time, che è una funzionalità integrata di Windows. Tutto ciò che devi fare è configurare Microsoft Family utilizzando il tuo account Microsoft. Puoi quindi aggiungere altri utenti dal tuo PC e vedere come tu e gli altri utilizzate il PC. Vai su “Impostazioni -> Account -> Apri app Famiglia” per iniziare.

Cosa devo fare se trovo un registro sospetto nel Visualizzatore eventi?

Se qualcosa sembra un po’ strano, potrebbe essere il momento di iniziare a scavare più a fondo negli eventi di avvio e spegnimento sospetti. Usa questi trucchi per vedere se qualcun altro si sta connettendo al tuo computer.