Windowsの起動・終了の履歴
イベントビューアで履歴を確認する
- イベントビューアを起動する。
- スタートメニュー内の管理ツール→イベントビューアを開くか、
- Win+Rを押して、eventvwr と入力して開く。
- イベントビューアが起動したら、左ペインから[Windowsログ]->[システム]を選ぶ。
- 右ペインの[操作]から[現在のログをフィルター]を選ぶ。
- イベントIDの指定を[6005, 6006, 6008]とする。
- OKを押す。
- ログがフィルタリングされ、以下のように確認できる。
- 正常起動 6005:イベント ログ サービスが開始されました。
- 正常終了 6006:イベント ログ サービスが停止されました。
- 異常終了後の起動 6008:以前のシステム シャットダウンは予期されていませんでした。
Windows 10で高速起動が有効な場合
- この場合、起動とシャットダウンがスリープ扱いになり、6005と6006では記録されない。
- したがって、ログオンとログオフのIDを代わりに使う。
- 7001 ログオン(起動に相当)
- 7002 ログオフ(終了に相当)
PowerShellで履歴を確認する
Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'} | select -First 10
- なお、Get-EventlogはDEPRECATEで非推奨らしい。Get-WinEventを使う。
参考
http://superuser.com/questions/1137371/how-to-find-out-if-windows-was-running-at-a-given-time/1137394#1137394