Windowsの起動・終了の履歴

イベントビューアで履歴を確認する

  • イベントビューアを起動する。
    • スタートメニュー内の管理ツール→イベントビューアを開くか、
    • Win+Rを押して、eventvwr と入力して開く。
  • イベントビューアが起動したら、左ペインから[Windowsログ]->[システム]を選ぶ。
  • 右ペインの[操作]から[現在のログをフィルター]を選ぶ。
  • イベントIDの指定を[6005, 6006, 6008]とする。
  • OKを押す。
  • ログがフィルタリングされ、以下のように確認できる。
    • 正常起動 6005:イベント ログ サービスが開始されました。
    • 正常終了 6006:イベント ログ サービスが停止されました。
    • 異常終了後の起動 6008:以前のシステム シャットダウンは予期されていませんでした。

Windows 10で高速起動が有効な場合

  • この場合、起動とシャットダウンがスリープ扱いになり、6005と6006では記録されない。
  • したがって、ログオンとログオフのIDを代わりに使う。
    • 7001 ログオン(起動に相当)
    • 7002 ログオフ(終了に相当)

PowerShellで履歴を確認する

 Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'} | select -First 10
  • なお、Get-EventlogはDEPRECATEで非推奨らしい。Get-WinEventを使う。

参考

http://superuser.com/questions/1137371/how-to-find-out-if-windows-was-running-at-a-given-time/1137394#1137394


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Last-modified: 2018-07-28 (土) 18:22:50