W systemie Windows (7/8/10) czy i tak nie wiadomo, czy komputer działał w danym momencie? (np. ostatniej nocy o 22:00, jeśli komputer był uruchomiony lub wyłączony) dzięki
Odpowiedzi:
Możesz użyć Podgląd zdarzeń systemu Windows aby to zrobić.
Aby uruchomić Podgląd zdarzeń w systemie Windows 7:
W systemie Windows 8 i 10 można uruchomić Podgląd zdarzeń za pomocą Klawisz Windows + X + V skrót. Możesz także otworzyć go za pomocą menu Run. Mianowicie naciśnij Klawisz Windows + R aby otworzyć okno dialogowe Uruchom, a następnie wpisz eventvwr i kliknij OK.
Po otwarciu Podglądu zdarzeń wykonaj następujące kroki:
Należy pamiętać, że wyświetlenie filtrowanych dzienników może zająć kilka chwil.
W podsumowaniu:
Identyfikator zdarzenia 6005 oznacza „Usługa dziennika zdarzeń została uruchomiona” (tj. czas uruchamiania).
Identyfikator zdarzenia 6006 oznacza „Usługa dziennika zdarzeń została zatrzymana” (tj. czas zamknięcia).
Jeśli chcesz, możesz również dodać do swojego filtra identyfikator zdarzenia 6013 - wyświetla to czas działania systemu po uruchomieniu.
Wreszcie, jeśli jest to coś, co chcesz regularnie sprawdzać, możesz utworzyć niestandardowy widok, aby wyświetlić ten filtrowany dziennik. Niestandardowe widoki znajdują się w lewym górnym rogu lewego okienka Podglądu zdarzeń Windows. Dodając go, możesz wybrać go, gdy chcesz wyświetlić dziennik.
Zauważ, że usługi nie kończą się, gdy komputer idzie spać, ale Kernel-Power źródło zdarzenia wspomina o wszystkich przejściach stanu zasilania. Aby wysłać zapytanie do dziennika zdarzeń z wiersza poleceń, możesz użyć PowerShell!
Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}
Na moim laptopie, który tworzy listę taką jak ta:
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
10/21/2016 1:20:43 PM 130 Information Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM 131 Information Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM 107 Information The system has resumed from sleep.
10/21/2016 1:16:53 PM 42 Information The system is entering sleep....
10/21/2016 1:06:05 PM 130 Information Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM 131 Information Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM 107 Information The system has resumed from sleep.
10/21/2016 12:29:29 PM 42 Information The system is entering sleep....
Co dziwne, czasami czas na zdarzeniu 107 jest niepoprawny (ten laptop na krótko traci ścieżkę czasu podczas wznawiania), ale następne zdarzenia „firmware S3 razy” są prawidłowe.
Oczywiście, jeśli komputer nieoczekiwanie się wyłączy, nie zdarzy się zdarzenie dokładnie w momencie zamknięcia - następnym Kernel-Power będzie, gdy system zda sobie sprawę, że moc została utracona. Dlatego innym podejściem byłoby znalezienie ostatniego zdarzenia dowolnego rodzaju zarejestrowanego przed danym czasem.
Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1
Zamieniłbyś się 10/19/2016 12:45 PM z czasem, który Cię interesował. Wybrałem dziennik aplikacji dla tego zapytania, ponieważ zwykle jest ono bardzo aktywne. Jeśli TimeCreated wyprodukowanego zdarzenia trwa ponad godzinę przed podanym czasem, prawdopodobnie komputer nie był w pełni uruchomiony.
Włączony widok czasu http://www.nirsoft.net/utils/computer_turned_on_times.html
Rób to samo i zaprezentuj GUI.
Lub, jeśli chcesz tylko sprawdzić, czy ponownie uruchomiono grę przed bieżącą sesją. Możesz sprawdzić czas.
net statistics server
