可通过事件查看器筛选事件ID 6005获取精确到秒的开机记录:一、运行eventvwr.msc后在系统日志中筛选6005;二、通过计算机管理进入事件查看器筛选;三、用PowerShell执行wevtutil命令提取;四、可补充筛选30、1074等ID交叉验证。
如果您希望确认 Windows 10 系统最近的开机时间或追溯历史启动行为,则可通过系统内置的事件查看器提取精确到秒的开机记录。以下是几种可直接操作的方法:
一、使用事件查看器图形界面筛选开机事件
事件查看器将系统启动动作以结构化日志形式记录在“系统”日志中,其中事件ID 6005 是标识“事件日志服务已启动”的标准代码,代表一次成功开机。该方法无需命令行,适合所有用户。
1、同时按下 Win + R 键,打开“运行”对话框。
2、在输入框中键入 eventvwr.msc,然后按回车键。
3、在左侧导航栏中,依次展开 Windows 日志 → 系统。
4、在右侧“操作”面板中,点击 筛选当前日志。
5、在弹出窗口的“包括/排除事件ID”输入框中,填入 6005。
6、点击“确定”,主窗口即显示全部开机事件,每条记录含日期、时间、来源及详细描述。
二、通过计算机管理入口进入事件查看器
该路径提供完整系统管理上下文,从“此电脑”出发直达事件查看器,避免独立调用命令,确保访问的是本地计算机的完整日志环境。
1、在桌面或文件资源管理器中,右键单击“此电脑”图标。
2、在弹出菜单中选择 管理,打开“计算机管理”窗口。
3、在左侧控制台树中,依次展开 系统工具 → 事件查看器 → Windows 日志 → 系统。
4、在右侧操作面板中,点击 筛选当前日志。
5、于“事件ID”输入框中输入 6005,点击“确定”。
三、使用 PowerShell 命令行快速提取开机记录
PowerShell 可直接调用系统日志查询接口,输出纯文本格式结果,支持复制、重定向保存,适用于需快速获取或批量分析场景。
1、右键开始按钮,选择 Windows PowerShell(管理员)。
2、输入以下命令并按回车执行:
wevtutil qe System /q:"*[System[(EventID=6005)]]" /rd:true /f:text
3、等待执行完成,屏幕上将逐条列出所有匹配的开机事件,含精确时间戳与消息摘要。
4、如需导出为文本文件,可在命令末尾添加重定向,例如:
wevtutil qe System /q:"*[System[(EventID=6005)]]" /rd:true /f:text > C:\startup_log.txt
四、补充识别其他可能的开机相关事件ID
除主流的6005外,部分系统或更新版本中也可能记录开机行为于其他事件ID,例如事件ID 30(旧版兼容标识)或1074(由用户/程序触发的重启后开机),可用于交叉验证。
1、在事件查看器“筛选当前日志”界面中,于事件ID输入框填写 6005,30,1074,用英文逗号分隔。
2、点击“确定”,系统将合并显示所有匹配记录。
3、逐条检查每条事件的“任务类别”与“描述”字段,确认是否为真实开机行为而非服务启动或唤醒事件。
