Como descobrir se o Windows estava rodando em um determinado momento?

Question 1

Você pode usar oVisualizador de eventos do Windowspara fazer isso.

Para iniciar o Visualizador de Eventos no Windows 7:

Clique no botão Iniciar
Clique em Painel de controle
Clique em Sistema e Manutenção
Clique em Ferramentas Administrativas
Clique duas vezes em Visualizador de eventos

No Windows 8 e 10 você pode executar o Visualizador de Eventos com o atalho Windows Key+ X+ V. Você também pode abri-lo através do menu Executar. Ou seja, pressione Windows Key+ Rpara abrir a caixa de diálogo Executar e digiteeventovwre clique em OK.

Depois de abrir o Visualizador de Eventos, siga estas etapas:

No painel esquerdo, vá paraLogs do Windows > Sistema
No painel direito você verá uma lista de eventos que ocorreram enquanto o Windows estava em execução
Clique no rótulo Event ID para classificar os dados pela coluna Event ID
É possível que seu log de eventos seja extremamente longo, então você precisará criar um filtro.
No painel Ações no lado direito, clique em “Filtrar log atual”
Digite 6005, 6006 no campo sem rótulo (veja a captura de tela abaixo):

Clique OK

Observe que pode levar alguns instantes para que o Visualizador de Eventos mostre os logs filtrados.

Resumindo:

ID do Evento 6005significa “O serviço de log de eventos foi iniciado” (ou seja, hora de inicialização).

ID do Evento 6006significa “O serviço de log de eventos foi interrompido” (ou seja, tempo de desligamento).

Se desejar, você também pode adicionar o Event ID 6013 ao seu filtro – isso exibe o tempo de atividade do sistema após a inicialização.

Finalmente, se isso é algo que você deseja verificar regularmente, você pode criar uma visualização personalizada para mostrar esse log filtrado. As visualizações personalizadas estão localizadas no canto superior esquerdo do painel esquerdo do Visualizador de Eventos do Windows. Ao adicioná-lo lá você pode optar por selecioná-lo sempre que quiser visualizar o log.

Answer

Você pode usar oVisualizador de eventos do Windowspara fazer isso.

Para iniciar o Visualizador de Eventos no Windows 7:

Clique no botão Iniciar
Clique em Painel de controle
Clique em Sistema e Manutenção
Clique em Ferramentas Administrativas
Clique duas vezes em Visualizador de eventos

No Windows 8 e 10 você pode executar o Visualizador de Eventos com o atalho Windows Key+ X+ V. Você também pode abri-lo através do menu Executar. Ou seja, pressione Windows Key+ Rpara abrir a caixa de diálogo Executar e digiteeventovwre clique em OK.

Depois de abrir o Visualizador de Eventos, siga estas etapas:

No painel esquerdo, vá paraLogs do Windows > Sistema
No painel direito você verá uma lista de eventos que ocorreram enquanto o Windows estava em execução
Clique no rótulo Event ID para classificar os dados pela coluna Event ID
É possível que seu log de eventos seja extremamente longo, então você precisará criar um filtro.
No painel Ações no lado direito, clique em “Filtrar log atual”
Digite 6005, 6006 no campo sem rótulo (veja a captura de tela abaixo):

Clique OK

Observe que pode levar alguns instantes para que o Visualizador de Eventos mostre os logs filtrados.

Resumindo:

ID do Evento 6005significa “O serviço de log de eventos foi iniciado” (ou seja, hora de inicialização).

ID do Evento 6006significa “O serviço de log de eventos foi interrompido” (ou seja, tempo de desligamento).

Se desejar, você também pode adicionar o Event ID 6013 ao seu filtro – isso exibe o tempo de atividade do sistema após a inicialização.

Finalmente, se isso é algo que você deseja verificar regularmente, você pode criar uma visualização personalizada para mostrar esse log filtrado. As visualizações personalizadas estão localizadas no canto superior esquerdo do painel esquerdo do Visualizador de Eventos do Windows. Ao adicioná-lo lá você pode optar por selecioná-lo sempre que quiser visualizar o log.

Question 2

Observe que os serviços não param quando o computador entra em suspensão, mas a Kernel-Powerfonte do evento menciona todas as transições de estado de energia. Para consultar o log de eventos na linha de comando, você pode usar o PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

No meu laptop, isso produz uma listagem como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Estranhamente, às vezes o tempo no evento 107 está incorreto (este laptop perde brevemente a noção do tempo ao reiniciar), mas os próximos eventos de “firmware S3 times” acertam.

Obviamente, se o computador desligar inesperadamente, você não receberá um evento no momento exato do desligamento - o próximo Kernel-Powerserá quando o sistema perceber que houve falta de energia. Portanto, uma abordagem diferente seria encontrar o evento mais recente de qualquer tipo registrado antes do horário em questão.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Você substituiria 10/19/2016 12:45 PMpelo horário de seu interesse. Escolhi o log do aplicativo para esta consulta porque geralmente é muito ativo. Se o TimeCreatedevento produzido ocorrer mais de uma hora antes do horário fornecido, é provável que o computador não esteja totalmente funcionando.

Answer

Observe que os serviços não param quando o computador entra em suspensão, mas a Kernel-Powerfonte do evento menciona todas as transições de estado de energia. Para consultar o log de eventos na linha de comando, você pode usar o PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

No meu laptop, isso produz uma listagem como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Estranhamente, às vezes o tempo no evento 107 está incorreto (este laptop perde brevemente a noção do tempo ao reiniciar), mas os próximos eventos de “firmware S3 times” acertam.

Obviamente, se o computador desligar inesperadamente, você não receberá um evento no momento exato do desligamento - o próximo Kernel-Powerserá quando o sistema perceber que houve falta de energia. Portanto, uma abordagem diferente seria encontrar o evento mais recente de qualquer tipo registrado antes do horário em questão.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Você substituiria 10/19/2016 12:45 PMpelo horário de seu interesse. Escolhi o log do aplicativo para esta consulta porque geralmente é muito ativo. Se o TimeCreatedevento produzido ocorrer mais de uma hora antes do horário fornecido, é provável que o computador não esteja totalmente funcionando.

Question 3

Visualização de hora ativada http://www.nirsoft.net/utils/computer_turned_on_times.html

Praticamente faça a mesma coisa e apresente uma GUI para você.

Ou, se você quiser apenas ver se houve uma reinicialização antes da sessão atual. Você pode querer verificar o tempo de atividade.

net statistics server

Answer

Visualização de hora ativada http://www.nirsoft.net/utils/computer_turned_on_times.html

Praticamente faça a mesma coisa e apresente uma GUI para você.

Ou, se você quiser apenas ver se houve uma reinicialização antes da sessão atual. Você pode querer verificar o tempo de atividade.

net statistics server

Como descobrir se o Windows estava rodando em um determinado momento?

Responder1

Responder2

Responder3

informação relacionada