Как узнать, была ли запущена Windows в определенный момент времени?

Question 1

Вы можете использоватьПросмотр событий Windowsсделать это.

Чтобы запустить просмотр событий в Windows 7:

Нажмите кнопку «Пуск».
Нажмите Панель управления.
Нажмите «Система и обслуживание».
Нажмите Административные инструменты.
Дважды щелкните «Просмотр событий».

В Windows 8 и 10 вы можете запустить Event Viewer с помощью сочетания клавиш Windows Key+ X+ V. Вы также можете открыть его через меню Run. А именно, нажмите Windows Key+ R, чтобы открыть диалоговое окно Run, затем введитесобытиеvwrи нажмите ОК.

Открыв Event Viewer, выполните следующие действия:

В левой панели перейдите кЖурналы Windows > Система
На правой панели вы увидите список событий, которые произошли во время работы Windows.
Нажмите на метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события.
Возможно, ваш журнал событий будет очень длинным, поэтому вам придется создать фильтр.
На панели «Действия» справа нажмите «Фильтровать текущий журнал».
Введите 6005, 6006 в поле без подписи (см. снимок экрана ниже):

Нажмите ОК.

Обратите внимание, что просмотр событий может занять некоторое время, прежде чем отобразятся отфильтрованные журналы.

В итоге:

Код события 6005означает «Служба журнала событий запущена» (т.е. время запуска).

Код события 6006означает «Служба журнала событий была остановлена» (т.е. время выключения).

При желании вы также можете добавить в фильтр событие с идентификатором 6013 — оно отображает время работы системы после загрузки.

Наконец, если вы хотите регулярно проверять это, вы можете создать пользовательское представление для отображения этого отфильтрованного журнала. Пользовательские представления находятся в верхнем левом углу левой панели Windows Event Viewer. Добавив его туда, вы можете выбрать его, когда захотите просмотреть журнал.

Answer

Вы можете использоватьПросмотр событий Windowsсделать это.

Чтобы запустить просмотр событий в Windows 7:

Нажмите кнопку «Пуск».
Нажмите Панель управления.
Нажмите «Система и обслуживание».
Нажмите Административные инструменты.
Дважды щелкните «Просмотр событий».

В Windows 8 и 10 вы можете запустить Event Viewer с помощью сочетания клавиш Windows Key+ X+ V. Вы также можете открыть его через меню Run. А именно, нажмите Windows Key+ R, чтобы открыть диалоговое окно Run, затем введитесобытиеvwrи нажмите ОК.

Открыв Event Viewer, выполните следующие действия:

В левой панели перейдите кЖурналы Windows > Система
На правой панели вы увидите список событий, которые произошли во время работы Windows.
Нажмите на метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события.
Возможно, ваш журнал событий будет очень длинным, поэтому вам придется создать фильтр.
На панели «Действия» справа нажмите «Фильтровать текущий журнал».
Введите 6005, 6006 в поле без подписи (см. снимок экрана ниже):

Нажмите ОК.

Обратите внимание, что просмотр событий может занять некоторое время, прежде чем отобразятся отфильтрованные журналы.

В итоге:

Код события 6005означает «Служба журнала событий запущена» (т.е. время запуска).

Код события 6006означает «Служба журнала событий была остановлена» (т.е. время выключения).

При желании вы также можете добавить в фильтр событие с идентификатором 6013 — оно отображает время работы системы после загрузки.

Наконец, если вы хотите регулярно проверять это, вы можете создать пользовательское представление для отображения этого отфильтрованного журнала. Пользовательские представления находятся в верхнем левом углу левой панели Windows Event Viewer. Добавив его туда, вы можете выбрать его, когда захотите просмотреть журнал.

Question 2

Обратите внимание, что службы не останавливаются, когда компьютер переходит в спящий режим, но Kernel-Powerисточник событий упоминает все переходы состояния питания. Чтобы запросить журнал событий из командной строки, вы можете использовать PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

На моем ноутбуке это выводит такой список:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Как ни странно, иногда время в событии 107 оказывается неверным (этот ноутбук на короткое время теряет счет времени при возобновлении работы), но следующие события «время прошивки S3» показывают правильно.

Конечно, если компьютер неожиданно выключился, вы не получите событие в точное время выключения — следующее событие Kernel-Powerбудет, когда система поймет, что питание было отключено. Поэтому другой подход — найти самое последнее событие любого рода, зарегистрированное до рассматриваемого времени.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Вы бы заменили 10/19/2016 12:45 PMна время, которое вас интересовало. Я выбрал журнал приложений для этого запроса, потому что он обычно очень активен. Если время TimeCreatedпроизведенного события больше часа или около того до указанного вами времени, скорее всего, компьютер не был полностью запущен.

Answer

Обратите внимание, что службы не останавливаются, когда компьютер переходит в спящий режим, но Kernel-Powerисточник событий упоминает все переходы состояния питания. Чтобы запросить журнал событий из командной строки, вы можете использовать PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

На моем ноутбуке это выводит такой список:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Как ни странно, иногда время в событии 107 оказывается неверным (этот ноутбук на короткое время теряет счет времени при возобновлении работы), но следующие события «время прошивки S3» показывают правильно.

Конечно, если компьютер неожиданно выключился, вы не получите событие в точное время выключения — следующее событие Kernel-Powerбудет, когда система поймет, что питание было отключено. Поэтому другой подход — найти самое последнее событие любого рода, зарегистрированное до рассматриваемого времени.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Вы бы заменили 10/19/2016 12:45 PMна время, которое вас интересовало. Я выбрал журнал приложений для этого запроса, потому что он обычно очень активен. Если время TimeCreatedпроизведенного события больше часа или около того до указанного вами времени, скорее всего, компьютер не был полностью запущен.

Question 3

Включен просмотр времени http://www.nirsoft.net/utils/computer_turned_on_times.html

По сути, делает то же самое и представляет вам графический интерфейс.

Или, если вы просто хотите посмотреть, был ли перезапуск перед вашим текущим сеансом. Вы можете проверить время работы.

net statistics server

Answer

Включен просмотр времени http://www.nirsoft.net/utils/computer_turned_on_times.html

По сути, делает то же самое и представляет вам графический интерфейс.

Или, если вы просто хотите посмотреть, был ли перезапуск перед вашим текущим сеансом. Вы можете проверить время работы.

net statistics server

Как узнать, была ли запущена Windows в определенный момент времени?

решение1

решение2

решение3

Связанный контент