Wie finde ich heraus, ob Windows zu einem bestimmten Zeitpunkt ausgeführt wurde?

Question 1

Du kannst den ... benutzenWindows-Ereignisanzeigeum dies zu tun.

So starten Sie die Ereignisanzeige in Windows 7:

Klicken Sie auf die Schaltfläche Start
Klicken Sie auf Systemsteuerung
Klicken Sie auf System und Wartung
Klicken Sie auf Verwaltung
Doppelklicken Sie auf Ereignisanzeige

In Windows 8 und 10 können Sie die Ereignisanzeige mit der Tastenkombination Windows Key+ X+ starten V. Sie können sie auch über das Menü Ausführen öffnen. Drücken Sie dazu Windows Key+ R, um das Dialogfeld Ausführen zu öffnen, und geben Sie dannAbonnierenund klicken Sie auf „OK“.

Sobald Sie die Ereignisanzeige geöffnet haben, führen Sie diese Schritte aus:

Gehen Sie im linken Bereich zuWindows-Protokolle > System
Im rechten Bereich sehen Sie eine Liste der Ereignisse, die aufgetreten sind, während Windows ausgeführt wurde
Klicken Sie auf die Bezeichnung „Ereignis-ID“, um die Daten nach der Spalte „Ereignis-ID“ zu sortieren.
Es ist möglich, dass Ihr Ereignisprotokoll extrem lang ist, sodass Sie einen Filter erstellen müssen.
Klicken Sie im Aktionsbereich auf der rechten Seite auf „Aktuelles Protokoll filtern“
Geben Sie 6005, 6006 in das unbeschriftete Feld ein (siehe Screenshot unten):

OK klicken

Bitte beachten Sie, dass es einige Momente dauern kann, bis die Ereignisanzeige die gefilterten Protokolle anzeigt.

In Summe:

Ereignis-ID 6005bedeutet „Der Ereignisprotokolldienst wurde gestartet“ (also Startzeit).

Ereignis-ID 6006bedeutet „Der Ereignisprotokolldienst wurde gestoppt“ (also zum Zeitpunkt des Herunterfahrens).

Wenn Sie möchten, können Sie Ihrem Filter auch die Ereignis-ID 6013 hinzufügen. Diese zeigt die Betriebszeit des Systems nach dem Booten an.

Wenn Sie dies regelmäßig überprüfen möchten, können Sie eine benutzerdefinierte Ansicht erstellen, um dieses gefilterte Protokoll anzuzeigen. Benutzerdefinierte Ansichten finden Sie oben links im linken Bereich der Windows-Ereignisanzeige. Wenn Sie sie dort hinzufügen, können Sie sie auswählen, wann immer Sie das Protokoll anzeigen möchten.

Answer

Du kannst den ... benutzenWindows-Ereignisanzeigeum dies zu tun.

So starten Sie die Ereignisanzeige in Windows 7:

Klicken Sie auf die Schaltfläche Start
Klicken Sie auf Systemsteuerung
Klicken Sie auf System und Wartung
Klicken Sie auf Verwaltung
Doppelklicken Sie auf Ereignisanzeige

In Windows 8 und 10 können Sie die Ereignisanzeige mit der Tastenkombination Windows Key+ X+ starten V. Sie können sie auch über das Menü Ausführen öffnen. Drücken Sie dazu Windows Key+ R, um das Dialogfeld Ausführen zu öffnen, und geben Sie dannAbonnierenund klicken Sie auf „OK“.

Sobald Sie die Ereignisanzeige geöffnet haben, führen Sie diese Schritte aus:

Gehen Sie im linken Bereich zuWindows-Protokolle > System
Im rechten Bereich sehen Sie eine Liste der Ereignisse, die aufgetreten sind, während Windows ausgeführt wurde
Klicken Sie auf die Bezeichnung „Ereignis-ID“, um die Daten nach der Spalte „Ereignis-ID“ zu sortieren.
Es ist möglich, dass Ihr Ereignisprotokoll extrem lang ist, sodass Sie einen Filter erstellen müssen.
Klicken Sie im Aktionsbereich auf der rechten Seite auf „Aktuelles Protokoll filtern“
Geben Sie 6005, 6006 in das unbeschriftete Feld ein (siehe Screenshot unten):

OK klicken

Bitte beachten Sie, dass es einige Momente dauern kann, bis die Ereignisanzeige die gefilterten Protokolle anzeigt.

In Summe:

Ereignis-ID 6005bedeutet „Der Ereignisprotokolldienst wurde gestartet“ (also Startzeit).

Ereignis-ID 6006bedeutet „Der Ereignisprotokolldienst wurde gestoppt“ (also zum Zeitpunkt des Herunterfahrens).

Wenn Sie möchten, können Sie Ihrem Filter auch die Ereignis-ID 6013 hinzufügen. Diese zeigt die Betriebszeit des Systems nach dem Booten an.

Wenn Sie dies regelmäßig überprüfen möchten, können Sie eine benutzerdefinierte Ansicht erstellen, um dieses gefilterte Protokoll anzuzeigen. Benutzerdefinierte Ansichten finden Sie oben links im linken Bereich der Windows-Ereignisanzeige. Wenn Sie sie dort hinzufügen, können Sie sie auswählen, wann immer Sie das Protokoll anzeigen möchten.

Question 2

Beachten Sie, dass die Dienste nicht beendet werden, wenn der Computer in den Ruhezustand wechselt, sondern dass die Kernel-PowerEreignisquelle alle Energiezustandsübergänge auflistet. Um das Ereignisprotokoll über die Befehlszeile abzufragen, können Sie PowerShell verwenden!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

Auf meinem Laptop wird eine Liste wie diese erzeugt:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Kurioserweise ist die Zeit bei Ereignis 107 manchmal falsch (dieser Laptop verliert beim Fortsetzen kurzzeitig den Überblick über die Zeit), bei den nächsten „Firmware-S3-Zeiten“-Ereignissen ist sie jedoch richtig.

Wenn der Computer unerwartet heruntergefahren wird, erhalten Sie natürlich kein Ereignis zum genauen Zeitpunkt des Herunterfahrens - das nächste Ereignis Kernel-Powerwird angezeigt, wenn das System erkennt, dass die Stromversorgung unterbrochen wurde. Ein anderer Ansatz wäre daher, das letzte Ereignis jeglicher Art zu finden, das vor dem betreffenden Zeitpunkt protokolliert wurde.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Sie ersetzen es 10/19/2016 12:45 PMdurch die Zeit, die Sie interessiert. Ich habe für diese Abfrage das Anwendungsprotokoll gewählt, da es normalerweise sehr aktiv ist. Wenn das TimeCreatederzeugte Ereignis mehr als eine Stunde vor der von Ihnen angegebenen Zeit liegt, ist es wahrscheinlich, dass der Computer nicht vollständig ausgeführt wurde.

Answer

Beachten Sie, dass die Dienste nicht beendet werden, wenn der Computer in den Ruhezustand wechselt, sondern dass die Kernel-PowerEreignisquelle alle Energiezustandsübergänge auflistet. Um das Ereignisprotokoll über die Befehlszeile abzufragen, können Sie PowerShell verwenden!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

Auf meinem Laptop wird eine Liste wie diese erzeugt:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Kurioserweise ist die Zeit bei Ereignis 107 manchmal falsch (dieser Laptop verliert beim Fortsetzen kurzzeitig den Überblick über die Zeit), bei den nächsten „Firmware-S3-Zeiten“-Ereignissen ist sie jedoch richtig.

Wenn der Computer unerwartet heruntergefahren wird, erhalten Sie natürlich kein Ereignis zum genauen Zeitpunkt des Herunterfahrens - das nächste Ereignis Kernel-Powerwird angezeigt, wenn das System erkennt, dass die Stromversorgung unterbrochen wurde. Ein anderer Ansatz wäre daher, das letzte Ereignis jeglicher Art zu finden, das vor dem betreffenden Zeitpunkt protokolliert wurde.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Sie ersetzen es 10/19/2016 12:45 PMdurch die Zeit, die Sie interessiert. Ich habe für diese Abfrage das Anwendungsprotokoll gewählt, da es normalerweise sehr aktiv ist. Wenn das TimeCreatederzeugte Ereignis mehr als eine Stunde vor der von Ihnen angegebenen Zeit liegt, ist es wahrscheinlich, dass der Computer nicht vollständig ausgeführt wurde.

Question 3

Zeitansicht aktiviert http://www.nirsoft.net/utils/computer_turned_on_times.html

Machen Sie im Wesentlichen dasselbe und präsentieren Sie Ihnen eine GUI.

Oder wenn Sie nur sehen möchten, ob vor Ihrer aktuellen Sitzung ein Neustart erfolgte, möchten Sie möglicherweise die Betriebszeit überprüfen.

net statistics server

Answer

Zeitansicht aktiviert http://www.nirsoft.net/utils/computer_turned_on_times.html

Machen Sie im Wesentlichen dasselbe und präsentieren Sie Ihnen eine GUI.

Oder wenn Sie nur sehen möchten, ob vor Ihrer aktuellen Sitzung ein Neustart erfolgte, möchten Sie möglicherweise die Betriebszeit überprüfen.

net statistics server

Wie finde ich heraus, ob Windows zu einem bestimmten Zeitpunkt ausgeführt wurde?

Antwort1

Antwort2

Antwort3

verwandte Informationen