Es gibt Zeiten, in denen ein Benutzer den Start- und den Herunterfahrverlauf eines Computers erfahren möchte. Meistens müssen Systemadministratoren den Verlauf zur Fehlerbehebung kennen. Wenn mehrere Benutzer den Computer verwenden, kann es eine gute Sicherheitsmaßnahme sein, die Start- und Stoppzeiten des PCs zu überprüfen, um sicherzustellen, dass der Computer ordnungsgemäß verwendet wird. In diesem Artikel werden wir zwei Möglichkeiten besprechen, wie Sie die Abschalt- und Startzeiten Ihres PCs verfolgen können.

Verwenden von Ereignisprotokollen zum Extrahieren von Start- und Herunterfahrzeiten

Windows Event Viewer ist ein wunderbares Werkzeug, das alle Arten von Sachen speichert, die im Computer passieren. Bei jedem Ereignis protokolliert die Ereignisanzeige einen Eintrag. Die Ereignisanzeige wird vom Ereignisprotokolldienst verarbeitet, der nicht manuell angehalten oder deaktiviert werden kann, da es sich um einen Windows-Kerndienst handelt. Die Ereignisanzeige protokolliert außerdem die Start- und Stoppzeiten des Ereignisprotokolldiensts. Wir können diese Zeiten nutzen, um eine Vorstellung davon zu bekommen, wann unser Computer gestartet oder heruntergefahren wurde.

Die Ereignisprotokolldienst-Ereignisse werden mit zwei Ereigniscodes protokolliert. Die Ereignis-ID 6005 gibt an, dass der Ereignisprotokolldienst gestartet wurde, und die Ereignis-ID 6009 gibt an, dass die Ereignisprotokolldienste gestoppt wurden. Lassen Sie uns den vollständigen Prozess zum Extrahieren dieser Informationen aus der Ereignisanzeige durchgehen.

1. Öffnen Sie die Ereignisanzeige (drücken Sie "Strg + R" und geben Sie " eventvwr.msc " ein). Wenn Sie Windows 8 verwenden, können Sie die Ereignisanzeige mit der Verknüpfung "Windows-Taste + X + V" ausführen.

2. Öffnen Sie im linken Bereich Windows Logs -> System.

3. Im rechten Fensterbereich erhalten Sie eine Liste der Ereignisse, die während der Ausführung von Windows aufgetreten sind. Unser Anliegen ist es, nur drei Ereignisse zu sehen. Sortieren wir zuerst das Ereignisprotokoll mit der Ereignis-ID. Klicken Sie auf die Bezeichnung Event ID, um die Daten in Bezug auf die Spalte Event ID zu sortieren.

4. Wenn Ihr Ereignisprotokoll riesig ist, wird die Sortierung nicht funktionieren. Sie können auch einen Filter im Aktionsbereich auf der rechten Seite erstellen. Klicken Sie einfach auf "Aktuelles Protokoll filtern".

5. Schreiben Sie 6005, 6006 in das Feld Event IDs mit der Bezeichnung als. Sie können den Zeitraum auch unter Protokolliert festlegen.

Die Ereignis-ID 6005 wird mit "Der Ereignisprotokolldienst wurde gestartet" gekennzeichnet. Dies ist auch für den Systemstart.

Die Ereignis-ID 6006 wird mit "Der Ereignisprotokolldienst wurde gestoppt" gekennzeichnet. Dies ist auch zum Herunterfahren des Systems.

Wenn Sie das Ereignisprotokoll weiter untersuchen möchten, können Sie die Ereignis-ID 6013 durchsuchen, die die Betriebszeit des Computers anzeigt, und die Ereignis-ID 6009 zeigt die Prozessorinformationen an, die während der Startzeit erkannt wurden. Die Ereignis-ID 6008 teilt Ihnen mit, dass das System gestartet wurde, nachdem es nicht ordnungsgemäß heruntergefahren wurde.

Verwenden von TurnedOnTimesView

TurnedOnTimesView ist ein einfaches, tragbares Werkzeug zur Analyse des Ereignisprotokolls für Start- und Stoppzeiten. Das Dienstprogramm kann verwendet werden, um die Liste der Herunterfahr- und Startzeiten von lokalen Computern oder von jedem mit dem Netzwerk verbundenen Remote-Computer anzuzeigen. Da es sich um ein tragbares Werkzeug handelt, müssen Sie die Datei TurnedOnTimesView.exe nur entpacken und ausführen. Es wird sofort die Startzeit, die Abschaltzeit, die Betriebszeit zwischen jedem Start und Herunterfahren, den Grund für das Herunterfahren und den Abschaltcode auflisten.

Der Grund zum Herunterfahren ist normalerweise mit Windows Server-Computern verbunden, auf denen wir einen Grund angeben müssen, wenn wir den Server herunterfahren.

Um die Start- und Stoppzeiten eines Remote-Computers anzuzeigen, gehen Sie zu "Optionen -> Erweiterte Optionen" und wählen Sie "Datenquelle als Remote-Computer". Geben Sie die IP-Adresse oder den Namen des Computers in das Feld Computername ein und drücken Sie die Taste OK. Jetzt zeigt die Liste die Details des entfernten Computers an.

Während Sie die Ereignisanzeige immer für eine detaillierte Analyse der Start- und Abschaltzeiten verwenden können, erfüllt TurnedOnTimesView den Zweck mit einer sehr einfachen Schnittstelle und den Punktdaten. Zu welchem ​​Zweck überwachen Sie die Start- und Stoppzeiten Ihres Computers? Welche Methode bevorzugen Sie zur Überwachung?