特定の時間にWindowsが実行されていたかどうかを確認する方法は?

16

Windows(7/8/10)では、コンピューターが特定の時間に実行されていたかどうかを確認する方法はありますか?(たとえば、コンピュータが実行中または電源がオフの場合、昨夜の午後10時)

windows-7  windows  power-supply  power 
エペズマン
ソース
マシンが実行されている場合、Windowsイベントログにイベントが含まれる可能性があります。完璧になるとは限りません。
セス

回答:

21

これを行うには、Windowsイベントビューアを使用できます。

Windows 7でイベントビューアーを起動するには:

  • スタートボタンをクリックします
  • コントロールパネルをクリックします
  • [システムとメンテナンス]をクリックします
  • [管理ツール]をクリックします
  • イベントビューアをダブルクリックします

Windows 8および10では、Windows Key+ X+ Vショートカットを使用してイベントビューアーを実行できます。[実行]メニューから開くこともできます。つまり、Windows Key+ Rを押して[実行]ダイアログを開き、eventvwrと入力して[OK]をクリックします。

イベントビューアーを開いたら、次の手順を実行します。

  1. 左側のウィンドウで、[Windowsログ]> [システム]に移動します
  2. 右側のウィンドウに、Windowsの実行中に発生したイベントのリストが表示されます
  3. イベントIDラベルでデータを並べ替えるには、イベントIDラベルをクリックします
  4. イベントログが非常に長くなる可能性があるため、フィルターを作成する必要があります。
  5. 右側の[操作]ウィンドウで、[現在のログをフィルター]をクリックします
  6. ラベルのないフィールドに6005、6006と入力します(下のスクリーンショットを参照)。

ここに画像の説明を入力してください

  1. OKをクリック

イベントビューアーでフィルター処理されたログが表示されるまでに少し時間がかかる場合があります。

要約すれば:

イベントID 6005は、「イベントログサービスが開始されました」(つまり、起動時間)を意味します。

イベントID 6006は、「イベントログサービスが停止しました」(つまり、シャットダウン時間)を意味します。

必要に応じて、イベントID 6013をフィルターに追加することもできます。これにより、起動後のシステムの稼働時間が表示されます。

最後に、これが定期的に確認したいものである場合、カスタムビューを作成して、このフィルタリングされたログを表示できます。カスタムビューは、Windowsイベントビューアーの左ペインの左上にあります。そこに追加すると、ログを表示したいときにいつでも選択できます。

モノミース
ソース
6

コンピューターがスリープ状態になったときにサービスが停止することはありませんが、Kernel-Powerイベントソースにはすべての電源状態の遷移が記載されていることに注意してください。コマンドラインからイベントログをクエリするには、PowerShellを使用できます。

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

私のラップトップでは、次のようなリストが生成されます。

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

奇妙なことに、イベント107の時間は正しくない場合があります(このラップトップは再開時に一時的に時間の経過を失います)が、次の「ファームウェアS3回」イベントが正しくなります。

もちろん、コンピューターが予期せずシャットダウンした場合、シャットダウンの正確な時間にイベントは発生しません。次Kernel-Powerは、システムが電源が失われたことを認識したときです。したがって、別のアプローチは、問題の時間の前に記録されたあらゆる種類の最新のイベントを見つけることです。

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

10/19/2016 12:45 PM興味のある時間に置き換えてください。通常、非常にアクティブであるため、このクエリにアプリケーションログを選択しました。場合TimeCreated生成イベントのは、あなたが提供される時間の前に時間かそこら以上のもの、それはコンピュータが完全に実行されていなかった可能性があります。

ベン・N
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.