Gibt es unter Windows (08.07.10) überhaupt eine Möglichkeit herauszufinden, ob der Computer zu einem bestimmten Zeitpunkt lief? (zB letzte Nacht um 22 Uhr, wenn der Computer lief oder ausgeschaltet war) Danke
Antworten:
Sie können dazu die Windows-Ereignisanzeige verwenden.
So starten Sie die Ereignisanzeige in Windows 7:
In Windows 8 und 10 können Sie die Ereignisanzeige mit dem Lauf Windows Key+ X+ VVerknüpfung. Sie können es auch über das Menü Ausführen öffnen. Drücken Sie nämlich Windows Key+ R, um das Dialogfeld Ausführen zu öffnen, geben Sie eventvwr ein und klicken Sie auf OK.
Wenn Sie die Ereignisanzeige geöffnet haben, gehen Sie folgendermaßen vor:
Bitte beachten Sie, dass es einige Momente dauern kann, bis die Ereignisanzeige die gefilterten Protokolle anzeigt.
In Summe:
Ereignis-ID 6005 bedeutet "Der Ereignisprotokolldienst wurde gestartet" (dh Startzeit).
Die Ereignis-ID 6006 bedeutet "Der Ereignisprotokolldienst wurde angehalten" (dh die Zeit zum Herunterfahren).
Wenn Sie möchten, können Sie Ihrem Filter auch die Ereignis-ID 6013 hinzufügen. Dadurch wird die Betriebszeit des Systems nach dem Start angezeigt.
Wenn Sie dies regelmäßig überprüfen möchten, können Sie eine benutzerdefinierte Ansicht erstellen, um dieses gefilterte Protokoll anzuzeigen. Benutzerdefinierte Ansichten befinden sich oben links im linken Bereich der Windows-Ereignisanzeige. Wenn Sie es dort hinzufügen, können Sie es auswählen, wann immer Sie das Protokoll anzeigen möchten.
Beachten Sie, dass die Dienste nicht beendet werden, wenn der Computer in den Energiesparmodus wechselt. In der Kernel-PowerEreignisquelle werden jedoch alle Energiezustandsübergänge aufgeführt. Um das Ereignisprotokoll über die Befehlszeile abzufragen, können Sie PowerShell!
Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}
Auf meinem Laptop erzeugt das eine Auflistung wie diese:
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
10/21/2016 1:20:43 PM 130 Information Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM 131 Information Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM 107 Information The system has resumed from sleep.
10/21/2016 1:16:53 PM 42 Information The system is entering sleep....
10/21/2016 1:06:05 PM 130 Information Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM 131 Information Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM 107 Information The system has resumed from sleep.
10/21/2016 12:29:29 PM 42 Information The system is entering sleep....
Seltsamerweise ist manchmal die Zeit bei Ereignis 107 falsch (dieser Laptop verliert beim Fortsetzen kurzzeitig den Überblick über die Zeit), aber die nächsten "Firmware S3-Zeiten" -Ereignisse machen es richtig.
Wenn der Computer unerwartet heruntergefahren wird, wird zum genauen Zeitpunkt des Herunterfahrens natürlich kein Ereignis angezeigt. Das nächste Ereignis tritt auf Kernel-Power, wenn das System feststellt, dass die Stromversorgung unterbrochen wurde. Ein anderer Ansatz wäre es daher, das jüngste Ereignis jeglicher Art zu finden, das vor dem fraglichen Zeitpunkt protokolliert wurde.
Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1
Sie würden es durch 10/19/2016 12:45 PMdie Zeit ersetzen, die Sie interessiert. Ich habe das Anwendungsprotokoll für diese Abfrage ausgewählt, da es normalerweise sehr aktiv ist. Wenn das TimeCreatederzeugte Ereignis mehr als eine Stunde vor dem von Ihnen angegebenen Zeitpunkt liegt, wurde der Computer wahrscheinlich nicht vollständig ausgeführt.
Ansicht "Aktivierte Zeit" http://www.nirsoft.net/utils/computer_turned_on_times.html
Tun Sie so ziemlich das Gleiche und präsentieren Sie eine GUI für Sie.
Oder wenn Sie nur sehen möchten, ob vor Ihrer aktuellen Sitzung ein Neustart durchgeführt wurde. Möglicherweise möchten Sie die Betriebszeit überprüfen.
net statistics server
