¿Cómo saber si Windows estaba ejecutándose en un momento determinado?

Question 1

Puedes usar elVisor de eventos de Windowspara hacer esto.

Para iniciar el Visor de eventos en Windows 7:

Haga clic en el botón Inicio
Haga clic en Panel de control
Haga clic en Sistema y mantenimiento
Haga clic en Herramientas administrativas
Haga doble clic en Visor de eventos

En Windows 8 y 10 puedes ejecutar el Visor de eventos con el acceso directo Windows Key+ X+ V. También puede abrirlo a través del menú Ejecutar. Es decir, presione Windows Key+ Rpara abrir el cuadro de diálogo Ejecutar, luego escribaeventovwry haga clic en Aceptar.

Una vez que tenga abierto el Visor de eventos, siga estos pasos:

En el panel izquierdo, vaya aRegistros de Windows > Sistema
En el panel derecho verá una lista de eventos que ocurrieron mientras Windows se estaba ejecutando
Haga clic en la etiqueta ID de evento para ordenar los datos por la columna ID de evento
Es posible que su registro de eventos sea extremadamente largo, por lo que deberá crear un filtro.
En el panel Acciones en el lado derecho, haga clic en "Filtrar registro actual"
Escriba 6005, 6006 en el campo sin etiqueta (ver captura de pantalla a continuación):

Haga clic en Aceptar

Tenga en cuenta que el Visor de eventos puede tardar unos minutos en mostrar los registros filtrados.

En resumen:

ID de evento 6005significa "Se inició el servicio de registro de eventos" (es decir, hora de inicio).

ID de evento 6006significa "El servicio de registro de eventos se detuvo" (es decir, hora de apagado).

Si lo desea, también puede agregar el ID de evento 6013 a su filtro; esto muestra el tiempo de actividad del sistema después del inicio.

Finalmente, si esto es algo que desea verificar periódicamente, puede crear una vista personalizada para mostrar este registro filtrado. Las vistas personalizadas se encuentran en la parte superior izquierda del panel izquierdo del Visor de eventos de Windows. Al agregarlo allí, puede optar por seleccionarlo cuando desee ver el registro.

Answer

Puedes usar elVisor de eventos de Windowspara hacer esto.

Para iniciar el Visor de eventos en Windows 7:

Haga clic en el botón Inicio
Haga clic en Panel de control
Haga clic en Sistema y mantenimiento
Haga clic en Herramientas administrativas
Haga doble clic en Visor de eventos

En Windows 8 y 10 puedes ejecutar el Visor de eventos con el acceso directo Windows Key+ X+ V. También puede abrirlo a través del menú Ejecutar. Es decir, presione Windows Key+ Rpara abrir el cuadro de diálogo Ejecutar, luego escribaeventovwry haga clic en Aceptar.

Una vez que tenga abierto el Visor de eventos, siga estos pasos:

En el panel izquierdo, vaya aRegistros de Windows > Sistema
En el panel derecho verá una lista de eventos que ocurrieron mientras Windows se estaba ejecutando
Haga clic en la etiqueta ID de evento para ordenar los datos por la columna ID de evento
Es posible que su registro de eventos sea extremadamente largo, por lo que deberá crear un filtro.
En el panel Acciones en el lado derecho, haga clic en "Filtrar registro actual"
Escriba 6005, 6006 en el campo sin etiqueta (ver captura de pantalla a continuación):

Haga clic en Aceptar

Tenga en cuenta que el Visor de eventos puede tardar unos minutos en mostrar los registros filtrados.

En resumen:

ID de evento 6005significa "Se inició el servicio de registro de eventos" (es decir, hora de inicio).

ID de evento 6006significa "El servicio de registro de eventos se detuvo" (es decir, hora de apagado).

Si lo desea, también puede agregar el ID de evento 6013 a su filtro; esto muestra el tiempo de actividad del sistema después del inicio.

Finalmente, si esto es algo que desea verificar periódicamente, puede crear una vista personalizada para mostrar este registro filtrado. Las vistas personalizadas se encuentran en la parte superior izquierda del panel izquierdo del Visor de eventos de Windows. Al agregarlo allí, puede optar por seleccionarlo cuando desee ver el registro.

Question 2

Tenga en cuenta que los servicios no se detienen cuando la computadora entra en suspensión, pero la Kernel-Powerfuente del evento menciona todas las transiciones de estado de energía. Para consultar el registro de eventos desde la línea de comando, puede usar PowerShell.

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

En mi computadora portátil, eso produce una lista como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Por extraño que parezca, a veces la hora en el evento 107 es incorrecta (esta computadora portátil pierde brevemente la noción del tiempo cuando se reanuda), pero los siguientes eventos de "tiempos de firmware S3" lo hacen bien.

Por supuesto, si la computadora se apaga inesperadamente, no obtendrá un evento en el momento exacto del apagado; el siguiente Kernel-Powerserá cuando el sistema se dé cuenta de que se perdió la energía. Por lo tanto, un enfoque diferente sería encontrar el evento más reciente de cualquier tipo registrado antes del momento en cuestión.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Lo reemplazaría 10/19/2016 12:45 PMcon el tiempo que le interesa. Elegí el registro de aplicación para esta consulta porque suele estar muy activo. Si el TimeCreatedevento producido ocurre aproximadamente una hora antes de la hora que proporcionó, es probable que la computadora no estuviera funcionando completamente.

Answer

Tenga en cuenta que los servicios no se detienen cuando la computadora entra en suspensión, pero la Kernel-Powerfuente del evento menciona todas las transiciones de estado de energía. Para consultar el registro de eventos desde la línea de comando, puede usar PowerShell.

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

En mi computadora portátil, eso produce una lista como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Por extraño que parezca, a veces la hora en el evento 107 es incorrecta (esta computadora portátil pierde brevemente la noción del tiempo cuando se reanuda), pero los siguientes eventos de "tiempos de firmware S3" lo hacen bien.

Por supuesto, si la computadora se apaga inesperadamente, no obtendrá un evento en el momento exacto del apagado; el siguiente Kernel-Powerserá cuando el sistema se dé cuenta de que se perdió la energía. Por lo tanto, un enfoque diferente sería encontrar el evento más reciente de cualquier tipo registrado antes del momento en cuestión.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Lo reemplazaría 10/19/2016 12:45 PMcon el tiempo que le interesa. Elegí el registro de aplicación para esta consulta porque suele estar muy activo. Si el TimeCreatedevento producido ocurre aproximadamente una hora antes de la hora que proporcionó, es probable que la computadora no estuviera funcionando completamente.

Question 3

Vista de hora activada http://www.nirsoft.net/utils/computer_turned_on_times.html

Prácticamente haga lo mismo y presente una GUI.

O bien, si simplemente desea ver si hay un reinicio antes de su sesión actual. Es posible que desee comprobar el tiempo de actividad.

net statistics server

Answer

Vista de hora activada http://www.nirsoft.net/utils/computer_turned_on_times.html

Prácticamente haga lo mismo y presente una GUI.

O bien, si simplemente desea ver si hay un reinicio antes de su sesión actual. Es posible que desee comprobar el tiempo de actividad.

net statistics server

¿Cómo saber si Windows estaba ejecutándose en un momento determinado?

Respuesta1

Respuesta2

Respuesta3

información relacionada