可通过事件查看器筛选事件ID 6005(开机)、6006(正常关机)、6008(意外关机)、1074(计划重启/关机)精准追溯开关机时间与原因,支持按时间范围、事件级别及快速查找功能高效定位。
如果您希望追溯Windows系统中每次开机、关机、重启或意外断电的具体时间与原因,则可通过系统内置的事件查看器提取原始日志记录。以下是基于事件查看器的详细操作步骤:
一、通过事件查看器筛选系统开关机事件
事件查看器将系统启动与关机行为记录为特定事件ID,其中6005表示日志服务启动(即开机)、6006表示日志服务停止(即正常关机)、6008表示意外关闭(如断电或强制关机)、1074表示用户或系统触发的计划性重启/关机。筛选这些ID可精准定位全部相关记录。
1、按下Win + R组合键,打开“运行”对话框。
2、输入eventvwr.msc并按回车,启动事件查看器。
3、在左侧导航栏中依次展开Windows 日志 → 系统。
4、在右侧操作面板中点击筛选当前日志。
5、在弹出窗口的“事件ID”输入框中输入:6005,6006,6008,1074(使用英文逗号分隔)。
6、点击确定,日志列表将仅显示上述四类事件。
7、双击任意一条记录,可在“常规”选项卡中查看精确到秒的时间戳,并在“详细信息”选项卡中确认事件来源与描述内容。
二、使用事件查看器高级筛选定位最近开关机行为
若需快速聚焦于近期操作,可结合时间范围与事件级别进一步缩小结果集,避免被大量历史日志干扰。该方式无需命令行,适合对系统日志结构不熟悉的用户。
1、在事件查看器“系统”日志界面,再次点击右侧的筛选当前日志。
2、在“筛选当前日志”窗口中,勾选“仅显示满足以下条件的日志”。
3、在“事件级别”区域,勾选信息、警告、错误三项。
4、在“开始时间”栏中,点击日历图标选择最近7天或自定义起始日期。
5、在“事件ID”栏中仍输入:6005,6006,6008,1074。
6、点击确定,界面将立即刷新为限定时间内的开关机事件集合。
三、借助事件查看器“查找”功能快速跳转至最新开机记录
当系统日志条目极多时,手动滚动查找效率低下。利用内置“查找”功能可直接定位最新一条6005事件(即最近一次开机),大幅缩短响应时间。
1、确保当前位于Windows 日志 → 系统视图。
2、在右上角点击查找按钮(放大镜图标)。
3、在“查找”对话框中,“查找内容”栏输入:6005。
4、勾选“向上搜索”(因最新事件默认位于列表顶部)。
5、点击查找下一个,光标将自动跳转至最近一次开机事件所在行。
6、按Enter键可反复执行查找,逐条回溯开机序列。
