通过事件查看器筛选ID 6005、6006、6008和1074可追踪Windows 11开机与关机记录,其中6005为开机,6006为正常关机,6008为意外断电,1074为重启或用户关机;使用PowerShell命令可快速查询并导出日志;通过winlogon事件来源可查看用户登录时间,判断实际使用时段。
如果您需要追踪Windows 11电脑的开机与关机历史,系统内置的日志功能可以提供详细的记录。通过特定的事件ID或来源筛选,您可以精确地找到这些信息。
本文运行环境:Dell XPS 13,Windows 11 家庭版
事件查看器会为不同的系统状态变化记录特定的事件ID,通过筛选这些ID可以快速定位开机和关机行为。
1、按下 Win + R 组合键打开“运行”对话框。
2、输入 eventvwr.msc 后按回车键,启动事件查看器。
3、在左侧导航栏中,依次展开 Windows 日志 并点击 系统。
4、在右侧操作面板中,点击 筛选当前日志。
5、在弹出的窗口中,于“事件ID”文本框内输入以下ID,用英文逗号分隔:6005,6006,6008,1074。
6、点击“确定”,列表将只显示相关事件:其中 6005 代表系统启动(开机),6006 代表正常关机,6008 代表意外断电,1074 代表由用户或程序发起的重启或关机。
7、双击任意一条日志可查看详细信息,包括具体的发生时间、触发进程及用户账户等。
PowerShell允许执行命令来批量检索系统事件,适合需要分析长期记录或创建报告的场景。
1、右键点击“开始”菜单,选择 终端(管理员) 或 Windows PowerShell(管理员)。
2、在打开的命令行界面中,粘贴并执行以下命令:
Get-WinEvent -LogName System | Where-Object {$_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074} | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize
3、执行后,系统将按时间倒序列出所有匹配的开关机事件,便于快速浏览最新的记录。
4、如需将结果保存为文件,可在上述命令末尾添加输出重定向,例如执行:
Out-File "C:\Users\Public\Documents\ShutdownLog.txt"
winlogon进程负责管理用户的登录和注销会话,其产生的日志可以反映用户级别的活动开始时间,间接判断设备的实际使用时段。
1、在事件查看器的“系统”日志页面,再次点击右侧的 筛选当前日志 按钮。
2、在筛选条件窗口中,清除之前输入的事件ID。
3、在“事件来源”下拉菜单中,选择 winlogon。
4、确保“记录时间”设置为“任何时间”,然后点击“确定”。
5、此时日志列表将只显示与winlogon相关的条目,查找包含“登录”字样的事件,其发生时间即为用户开始使用电脑的时间点。
以上就是win11怎么查看电脑的开机记录_Windows11开机日志查看方法的详细内容,更多请关注php中文网其它相关文章!
Windows激活工具是正版认证的激活工具,永久激活,一键解决windows许可证即将过期。可激活win7系统、win8.1系统、win10系统、win11系统。下载后先看完视频激活教程,再进行操作,100%激活成功。
广告
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
392
