Der er tidspunkter, hvor en bruger ønsker at kende opstart og nedlukningshistorik på en computer. For det meste skal systemadministratorer vide om historikken til fejlfinding. Hvis flere brugere bruger computeren, kan det være en god sikkerhedsforanstaltning at kontrollere pc'ens opstarts- og afbrydelsestider for at sikre, at pc'en bruges lovligt. I denne artikel vil vi diskutere to måder at holde styr på din pc-nedlukning og opstartstider.

Brug af hændelseslogfiler til at udtrække start- og nedlukningstider

Windows Event Viewer er et vidunderligt værktøj, der gemmer alle slags ting der sker i computeren. Ved hver begivenhed logger hændelsesviseren en post. Hændelsesviseren håndteres af eventlog service, der ikke kan stoppes eller deaktiveres manuelt, da det er en Windows-kernetjeneste. Hændelsesviseren logger også start- og stoptiderne for eventlog-tjenesten. Vi kan gøre brug af disse tider for at få en ide om, hvornår vores computer blev startet eller lukket ned.

Eventlog-servicehændelserne er logget med to begivenhedskoder. Hændelses-ID 6005 angiver, at eventlog-tjenesten blev startet, og hændelses-id 6009 angiver, at hændelseslogtjenesterne blev stoppet. Lad os gå igennem hele processen med at udvinde disse oplysninger fra hændelsesviseren.

1. Åbn Event Viewer (tryk på "Ctrl + R" og skriv " eventvwr.msc "). Hvis du bruger Windows 8, kan du køre Event Viewer med genvejen "Windows Key + X + V".

2. Åbn Windows Logs -> System i venstre rude.

3. I ruden til højre får du en liste over begivenheder, der opstod, mens Windows kørte. Vores bekymring er at se kun tre begivenheder. Lad os først sortere begivenhedsloggen med hændelses-id. Klik på hændelses-id-mærkaten for at sortere dataene i forhold til hændelses-id-kolonnen.

4. Hvis din logfil er enorm, vil sorteringen ikke fungere. Du kan også oprette et filter fra handlingspanelet på højre side. Bare klik på "Filter nuværende log".

5. Skriv 6005, 6006 i feltet Hændelses-id'er mærket som. Du kan også angive tidsperioden under Logget.

Event ID 6005 vil blive mærket som "Event log-tjenesten blev startet". Dette er synonymt med systemstart.

Hændelses ID 6006 vil blive mærket som "Hændelseslogstjenesten blev stoppet". Dette er synonymt med systemafbrydelse.

Hvis du vil undersøge Event loggen yderligere, kan du gennemgå Event ID 6013, som viser computerens oppetid, og Event ID 6009 angiver de processoroplysninger, der er registreret under starttiden. Event ID 6008 vil fortælle dig, at systemet startede, efter at det ikke var lukket korrekt.

Brug af TurnedOnTimesView

TurnedOnTimesView er et simpelt, bærbart værktøj til analyse af hændelsesloggen for opstarts- og nedlukningstider. Værktøjet kan bruges til at se listen over shutdown og opstartstider for lokale computere eller enhver ekstern computer, der er tilsluttet netværket. Da det er et bærbart værktøj, behøver du kun at pakke ud og udføre filen TurnedOnTimesView.exe. Det vil straks oplyse opstartstid, afbrydelsestid, varighed af oppetid mellem hver opstarts- og afbrydelse, afbrydelsesårsag og nedlukningskode.

Shutdown årsag er normalt forbundet med Windows Server maskiner, hvor vi skal give en grund, hvis vi lukker serveren ned.

For at se start- og afbrydelsestiderne for en fjerncomputer, skal du gå til "Indstillinger -> Avancerede indstillinger" og vælge "Datakilde som fjerncomputer". Angiv IP-adressen eller navnet på computeren i feltet Computer Name og tryk på OK-knappen. Nu vil listen vise detaljerne på den eksterne computer.

Mens du altid kan bruge begivenhedsviseren til detaljeret analyse af opstarts- og nedlukningstider, tjener TurnedOnTimesView formålet med en meget enkel grænseflade og til punktdata. Til hvilket formål overvåger du opstarts- og afbrydelsestiderne på din computer? Hvilken metode foretrækker du for overvågning?