Как проверить историю запуска и завершения работы в Windows

Иногда вам может понадобиться узнать историю загрузки или выключения компьютера; например, если вы системный администратор или делитесь своим компьютером с друзьями или членами семьи. Вы можете использовать эту историю для устранения ошибок в системе и убедиться, что к вашему компьютеру не обращались в нерабочее время.

К счастью, есть немало способов проверить историю запуска и завершения работы в Windows. Ниже мы подробно обсудили три наиболее эффективных способа сделать это.

1 Используйте средство просмотра событий

Средство просмотра событий Windows — это инструмент административного уровня, который отображает несколько журналов, включая сообщения об ошибках, события, предупреждения и другую дополнительную информацию о процессах вашей операционной системы.

Каждая программа, которая запускается на вашем компьютере, отправляет уведомление в журнал событий, и то же самое делает каждая работоспособная программа перед закрытием. Журналы событий создаются каждый раз, когда имеет место доступ к системе, происходит изменение безопасности, ошибка вызывает ошибку или возникает сбой драйвера.

В этом методе мы будем использовать утилиту просмотра событий для просмотра истории запуска и завершения работы в Windows. Эта программа отображает как минимум пять таких релевантных событий, а именно:

• Идентификатор события 41 — это событие регистрируется, когда вы перезагружаете компьютер, не выключая его полностью.
• Идентификатор события 1074 — это событие регистрируется в двух случаях: либо по команде завершения работы из меню «Пуск», либо когда приложение вызывает перезагрузку или завершение работы компьютера.
• Идентификатор события 6005 — указывает на запуск системы. Это событие создается при запуске службы журнала событий.
• Идентификатор события 6006 – данное событие регистрируется в случае корректного завершения работы.
• Идентификатор события 6008 — это событие регистрируется, если ваш компьютер неожиданно выключается. Например, если вы выключите компьютер напрямую с помощью кнопки питания или если в системе возникнет ошибка, в результате чего компьютер немедленно выключится.

Теперь, когда мы знаем о событиях, которые отображают информацию о запуске и завершении работы, давайте посмотрим, как мы можем просмотреть эти журналы в средстве просмотра событий:

1. Нажмите Win + R, чтобы открыть диалоговое окно «Выполнить».

2. Введите eventvwr в текстовом поле диалогового окна и нажмите Enter. Это запустит средство просмотра событий.

3. Разверните раздел «Журналы Windows» на левой панели и выберите «Система».

4. Выберите «Фильтровать текущий журнал» на левой панели.

5. Теперь введите идентификатор события, которое вы хотите проверить, в разделе «Включает/исключает идентификаторы событий». Поскольку мы хотим проверить журналы запуска и завершения работы, мы введем идентификаторы 6005 и 6006.

6. Нажмите OK, чтобы продолжить.

Средство просмотра событий теперь должно отображать список ваших событий выключения и запуска.

2 Используйте командную строку

В том случае, если первый способ отнимает у вас немного времени, вы можете выполнить ту же операцию с помощью командной строки, что потребует гораздо меньше времени на обработку.

Командная строка — это еще одна утилита административного уровня, которая используется для выполнения введенных команд и выполнения расширенных операций, таких как управление сетями и устранение неполадок. В этом методе мы будем выполнять команды с нашими предпочтительными идентификаторами событий из средства просмотра событий.

Вот что вам нужно сделать:

1. Нажмите Win + R, чтобы открыть диалоговое окно «Выполнить».

2. Введите cmd в текстовом поле диалогового окна и одновременно нажмите Ctrl + Shift + Enter. Это запустит командную строку с правами администратора.

3. Как только вы окажетесь в командной строке, введите команду, указанную ниже, чтобы просмотреть историю выключения. Если вы хотите просмотреть историю чего-то другого, вы можете заменить идентификатор события другим идентификатором.

   wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

4. Если вы просто хотите просмотреть дату и время события, выполните следующую команду:

   wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Кроме того, вы также можете использовать сторонний инструмент для той же работы. В этом методе мы будем использовать TurnedOnTimesView, удобный инструмент, похожий на средство просмотра событий Windows. Он записывает информацию о каждом запуске и выключении, включая время и тип (принудительное, обычное). Более того, вы можете получить эту информацию как для локальных, так и для удаленных компьютеров в вашей сети.

Этот инструмент идеально подходит для тех, кто хочет быстро прочитать данные без прокрутки длинных списков данных о событиях, отображаемых в средстве просмотра событий. Вот как вы можете его использовать:

1. Посетите страницу загрузки TurnedOnTimesView и загрузите приложение. На момент написания ссылка для скачивания находилась довольно далеко внизу страницы, поэтому продолжайте прокручивать, пока не увидите ее.

2. Как только файл будет загружен, перейдите в проводник и распакуйте его.

3. Запустите извлеченный файл.

4. Перейдите на вкладку «Параметры» и выберите «Дополнительные параметры».

5. Выберите источник данных в соответствии с вашими предпочтениями. Если вы выбираете опцию «Удаленный компьютер», введите имя компьютера и нажмите «ОК».

Инструмент теперь будет отображать историю запуска и завершения работы в вашей операционной системе Windows.

Отслеживайте историю запуска и выключения вашего ПК

Если вы когда-нибудь захотите проверить, когда ваш компьютер использовался в последний раз, перечисленные выше методы должны помочь вам найти эту информацию. Знание того, как отслеживать время запуска и выключения, может быть полезно в ситуациях, когда вы делитесь своим компьютером с другими членами семьи или друзьями.