可通过事件查看器或PowerShell查看Windows启停记录:在“Windows日志→系统”中筛选ID为1074(关机/重启)、6005(开机)、6006(关机)、1001(蓝屏)的事件,或用PowerShell命令Get-WinEvent提取并排序。
如果您需要了解Windows系统在特定时间的启动与关机行为,事件查看器中记录了详细的系统日志。以下是通过事件查看器查看系统启动和关机历史记录的具体步骤:
一、打开事件查看器并定位系统日志
事件查看器是Windows内置的日志管理工具,系统启动和关机事件主要记录在“系统”日志中,对应事件ID为1074(用户或程序发起关机)、6005(事件日志服务启动,标志系统启动)、6006(事件日志服务正常关闭,标志系统关机)、1001(意外关机后蓝屏生成dump时触发,可辅助判断非正常关机)。
1、按 Win + R 键打开运行对话框。
2、输入 eventvwr.msc 并按回车键,启动事件查看器。
3、在左窗格依次展开 “Windows 日志” → “系统”。
二、筛选启动与关机相关事件
系统日志包含大量条目,直接浏览效率低,需使用筛选功能快速定位关键事件。筛选依据为事件ID和事件来源,确保只显示与系统启停直接相关的记录。
1、在右窗格点击 “筛选当前日志…”。
2、在“事件ID”文本框中输入:1074,6005,6006,1001(多个ID用英文逗号分隔)。
3、在“事件来源”下拉菜单中选择:EventLog(对应6005/6006)和 User32(对应1074),若需合并筛选,可分两次执行或留空此项后人工识别。
4、点击 “确定” 应用筛选条件。
三、识别并解读关键事件条目
筛选后的列表中,每条记录的时间戳、事件ID和任务类别共同构成启停行为的时间证据。需结合事件详情中的描述字段确认操作性质,避免将计划任务重启或服务停止误判为系统级关机。
1、双击任一条目打开 “事件属性” 对话框。
2、在“常规”选项卡中查看 “事件ID” 和 “日期和时间”。
3、切换到“详细信息”选项卡,展开 “事件数据” 或滚动至底部阅读 “消息” 字段: • ID 6005 表示 事件日志服务已启动,通常对应系统开机时刻; • ID 6006 表示 事件日志服务已停止,通常对应系统正常关机时刻; • ID 1074 表示 用户、系统进程或远程指令发起的关机/重启,消息中含发起者用户名及原因。
四、导出指定时间段的启停记录
当需长期跟踪或提交给技术支持时,可将筛选结果导出为.evtx文件,保留原始时间戳、事件ID和完整描述,便于离线分析或跨设备比对。
1、在筛选后的“系统”日志列表中,右键单击任意条目。
2、选择 “将筛选后的日志另存为…”。
3、在保存对话框中,设置文件名(如StartupShutdown_20240515.evtx),选择保存位置。
4、点击 “保存” 完成导出。
五、使用PowerShell命令快速提取启停时间
对于熟悉命令行的用户,PowerShell可绕过图形界面直接查询并格式化输出最近若干次启停事件,响应更快且支持管道处理,适合批量检查多台设备。
1、以管理员身份运行PowerShell。
2、执行以下命令获取最近10条关机/重启事件(ID 1074):
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074} -MaxEvents 10 | Select TimeCreated, Id, Message
3、执行以下命令获取最近10次系统启动(ID 6005)与关机(ID 6006)组合记录:
Get-WinEvent -FilterHashtable @{LogName='System'; ID=6005,6006} -MaxEvents 10 | Sort-Object TimeCreated | Select TimeCreated, Id, LevelDisplayName
