Как посмотреть историю запуска и завершения работы ПК в Windows

Иногда пользователю необходимо узнать историю запуска и завершения работы компьютера. Чаще всего это нужно системным администраторам для устранения неполадок. Если компьютером пользуется несколько человек, полезно проверять время запуска и завершения работы ПК, чтобы убедиться, что он используется законно. В этой статье мы обсудим способы отслеживания времени завершения и запуска вашего ПК.

Полезно знать: узнайте, как добавлять портативные приложения в автозагрузку Windows, прочитав наше руководство.

Содержание

• 1. Использование журналов событий для извлечения времени запуска и завершения работы
• 2. Проверка с помощью командной строки или PowerShell
• 3. Использование TurnedOnTimesView
• Часто задаваемые вопросы

1. Использование журналов событий для извлечения времени запуска и завершения работы

Встроенный просмотрщик событий Windows — это замечательный инструмент, который сохраняет всевозможные события, происходящие на компьютере. Во время каждого события просмотрщик событий фиксирует запись. Это все управляется службой eventlog, которую нельзя остановить или отключить вручную, так как это основная служба Windows. В то же время просмотрщик событий фиксирует историю запуска и завершения работы службы eventlog. Вы можете проверить эти времена, чтобы получить представление о том, когда ваш компьютер был включен или выключен.

События службы eventlog фиксируются с двумя кодами событий. Идентификатор события 6005 указывает на то, что служба eventlog была запущена, а идентификатор события 6006 указывает на то, что служба eventlog была остановлена. Давайте рассмотрим полный процесс извлечения этой информации из просмотрщика событий.

1. Откройте просмотрщик событий (нажмите Win + R и введите “eventvwr.”)

1. В левом окне откройте “Журналы Windows -> Система.”

1. В среднем окне вы увидите список событий, которые произошли в то время, когда Windows работал. Наша цель - увидеть только три события. Давайте сначала отсортируем журнал событий по “Идентификатору события”. Вы можете либо щелкнуть по столбцу “Идентификатор события” для авто-сортировки, либо щелкнуть правой кнопкой мыши и выбрать “Сортировать события по этому столбцу”.

1. Если ваш журнал событий большой, сортировка не сработает. Вы также можете создать фильтр в панели действий в правом верхнем углу. Просто нажмите на “Фильтровать текущий журнал.”

1. Введите “6005, 6006” в поле Идентификаторы событий. Вы также можете указать период времени в разделе “Записано” (вверху).

Во время расследования вам стоит обратить внимание на несколько важных идентификаторов событий:

• Идентификатор события 41 должен указывать “Система перезагрузилась без предварительного завершения работы.” Вы увидите это, если ваш ПК перезагрузился без надлежащего завершения работы.
• Идентификатор события 1074 может содержать разные сообщения в зависимости от способа завершения работы ПК. Однако он всегда фиксируется, когда программа или пользователь инициирует завершение работы.
• Идентификатор события 1076 сообщает, почему ПК был выключен или перезапущен. Это может дать вам больше информации о том, почему что-то произошло.
• Идентификатор события 6005 должен обозначаться как “Служба журнала событий была запущена.” Это синоним запуска системы.
• Идентификатор события 6006 должен обозначаться как “Служба журнала событий была остановлена.” Это синоним завершения работы системы.
• Идентификатор события 6008 должен указывать “Предыдущее завершение работы системы в [время] на [дату] было неожиданным.” Это знак того, что ваш ПК снова запустился после неправомерного завершения работы.
• Идентификатор события 6009 имеет разные сообщения в зависимости от вашего процессора. Тем не менее, он означает, что ваш процессор был обнаружен в конкретный момент времени.
• Идентификатор события 6013 должен указывать “Время работы системы [время].” Это показывает, как долго ваш ПК был включен. Это время в секундах.

Вы также можете настроить пользовательские представления просмотрщика событий, чтобы быстро проверять эту информацию в будущем и экономить время. Вы можете также настроить несколько представлений в зависимости от ваших потребностей, а не только по истории запуска и завершения работы.

Совет: Не уверены, когда следует использовать командную строку, а когда PowerShell? Узнайте о различиях здесь.

2. Проверка с помощью командной строки или PowerShell

Если вы не хотите проходить все шаги выше, попробуйте использовать командную строку или PowerShell для проверки идентификаторов событий. Вам нужно знать номер ID, чтобы это сделать.

1. Нажмите Win + R, чтобы открыть диалог “Выполнить”.
2. Введите “cmd” и нажмите Ctrl + Shift + Enter, чтобы открыть командную строку с повышенными привилегиями администратора.

1. Введите следующую команду и замените номер идентификатора события на тот, который вы хотите увидеть. В данном случае это “6006”.

wevtutil qe system "/q:*[System [(EventID=6006)]]"/rd:true /f:text /c:1

1. Если вы хотите проверить несколько кодов сразу, проще использовать PowerShell. Нажмите Win + X и выберите “Терминал (администратор)” или “PowerShell (администратор)” в зависимости от вашей версии Windows.

2. Введите следующую команду. Замените числа в скобках на любые идентификаторы событий, которые вы хотите увидеть.

Get-EventLog -LogName System | ? { $_.EventID -in (6005,6006,6008,6009,1074,1076) } | ft TimeGenerated, EventId, Message -AutoSize -Wrap

1. Может потребоваться минута, чтобы результаты появились. Тем не менее, вы заметите, что они гораздо более подробные, чем в командной строке.

Для вашего сведения: Нужна дополнительная информация о просмотрщике событий? Мы показываем, как использовать его более подробно.

3. Использование TurnedOnTimesView

TurnedOnTimesView — это простое портативное приложение для анализа журнала событий по истории запуска и завершения работы. Утилита может использоваться для просмотра списка местных компьютеров или любого удаленного компьютера, подключенного к сети. Утилита работает на любой версии Windows с Windows 2000 до Windows 10. Тем не менее, она также хорошо функционирует на Windows 11 по нашим тестам.

1. Поскольку это портативное приложение, вам просто нужно распаковать и запустить файл TurnedOnTimesView.exe.
2. Оно немедленно отобразит время запуска, время завершения работы, продолжительность работы между каждым запуском и завершением работы, причину завершения работы и код завершения.

1. Оно также отобразит “Причину завершения работы”, которая, как правило, связана с серверами Windows, где вам нужно указать причину, если вы завершаете работу сервера. Если у вас версия Windows без сервера, вы, вероятно, не увидите “Причину завершения работы”.

2. Нажмите F9, чтобы перейти в “Дополнительные параметры”.

3. Выберите “Удаленный компьютер“ в разделе “Источник данных.”

1. Укажите IP-адрес или имя компьютера в поле “Имя компьютера” и нажмите кнопку “ОК”. Теперь список покажет данные удаленного компьютера.

Хотя вы всегда можете использовать просмотрщик событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView выполняет эту задачу с очень простым интерфейсом и четкими данными.

Если TurnedOnTimesView вам не совсем подходит, попробуйте LastActivityView. Он разработан теми же разработчиками. Он не только показывает активность запуска и завершения работы, но и указывает, были ли открыты файлы и программы, произошли ли сбои системы, подключения/отключения сети и многое другое. Это отличный способ увидеть, что произошло во время неожиданного запуска/завершения системы, если вы работаете на компьютере с Windows 11/10/8/7/Vista.

Еще один вариант — Shutdown Logger, который совместим с Windows 11/10/8/7. Как следует из названия, он сообщает, когда ваш ПК был выключен. Однако он добавляет несколько дополнительных полезных функций, включая информацию о том, кто был в системе перед завершением работы, и время работы ПК. Он предлагает только 30-дневную 무료-версию.

Совет: существует много режимов приостановки работы вашего компьютера. Ознакомьтесь с отличиями между завершением работы, режимом сна и гибернацией, чтобы выбрать наиболее подходящий для вас.

Часто задаваемые вопросы

Почему мой компьютер неожиданно выключился?

Если вы знаете, что никто другой не пользовался вашим ПК, неожиданное завершение работы может вызывать беспокойство. Обычно вы увидите идентификатор события 6008, если это произошло.

Хотя это не всегда серьёзная проблема, среди самых распространённых причин неожиданных завершений работы можно выделить перегрев компьютера, проблемы с питанием, сбои жёсткого диска и даже проблемы с драйверами.

Могу ли я узнать, сколько времени я использую компьютер?

Вы можете использовать стороннее приложение, такое как Shutdown Logger (упомянутое ранее), или воспользоваться функцией “Время на экране”, которая является встроенной функцией Windows. Всё, что вам нужно сделать, это настроить семью Microsoft, используя свою учетную запись Microsoft. Затем вы сможете добавить других пользователей с вашего ПК и увидеть, как вы и другие используете ПК. Перейдите в “Настройки -> Учетные записи -> Открыть семейное приложение”, чтобы начать.

Что мне делать, если я нашёл подозрительную запись в просмотрщике событий?

Если что-то кажется немного подозрительным, возможно, пришло время более внимательно изучить подозрительные события запуска и завершения системы. Используйте эти советы, чтобы узнать, входит ли кто-то другой в вашу систему.