Najłatwiejszym sposobem ustalenia daty i godziny ostatniego zamknięcia jest sprawdzenie dzienników zdarzeń. Po zamknięciu komputera zdarzenie o identyfikatorze 1074 jest zapisywane w dzienniku zdarzeń, co oznacza czyste zamknięcie. Poniższe instrukcje dotyczą wszystkich wersji systemu Windows, w tym systemu Windows 10.
Określ datę ostatniego zamknięcia lub ponownie uruchom datę i godzinę w systemie Windows
Aby sprawdzić, kiedy było ostatnie zamknięcie komputera, sprawdź w Podglądzie zdarzeń najnowszy identyfikator zdarzenia 1074.
- Uruchom eventvwr.msc, aby uruchomić Podgląd zdarzeń.
- W Podglądzie zdarzeń rozwiń Dzienniki systemu Windows → System
- Sortuj dziennik według daty (malejąco)
- Kliknij opcję Filtruj bieżący dziennik… w prawym okienku.
- Dodaj identyfikator zdarzenia:
1074na liście Zawiera i włącz wszystkie typy zdarzeń.
- Kliknij OK.
Oto przykładowe zdarzenie zamknięcia:
Nazwa dziennika: Źródło systemu: Użytkownik32 Data: 2019-06-25T00: 15: 05.230 Identyfikator zdarzenia: 1074 Zadanie: Nie dotyczy Poziom: Informacje Kod operacyjny: Nie dotyczy Słowo kluczowe: Klasyczna nazwa użytkownika: DESKTOP-JKJ4G5Q \ ramesh Komputer: DESKTOP- JKJ4G5Q Opis: Proces C: \ Windows \ System32 \ RuntimeBroker.exe (DESKTOP-JKJ4G5Q) zainicjował wyłączenie komputera DESKTOP-JKJ4G5Q w imieniu użytkownika DESKTOP-JKJ4G5Q \ ramesh z następującego powodu: Inny (nieplanowany) Przyczyna Kod : 0x0 Typ zamknięcia: wyłączenie zasilania
Znajdź czas ostatniego wyłączenia za pomocą wiersza polecenia
Aby pobrać ostatnie zdarzenie zamykania systemu (identyfikator zdarzenia 1074) z dziennika zdarzeń systemowych za pomocą wiersza polecenia, uruchom następujące polecenie:
wevtutil qe system "/ q: * [System [(EventID = 1074)]]" / rd: true / f: text / c: 1
Aby wyświetlić tylko datę (znacznik czasu) wydarzenia bez innych szczegółów, uruchom:
wevtutil qe system "/ q: * [System [(EventID = 1074)]]" / rd: true / f: text / c: 1 | findstr / i „date”POWIĄZANE: Różne sposoby znajdowania Uptime w systemie Windows
Identyfikator zdarzenia 6005 i 6006
Alternatywnie możesz także wyszukać identyfikator zdarzenia 6006 „Usługa dziennika zdarzeń została zatrzymana”. i 6005 „Uruchomiono usługę dziennika zdarzeń”. co oznacza, że zdarzenie zamknięcia lub ponownego uruchomienia miało miejsce w określonym czasie.
Korzystanie ze skryptu Windows i rejestru
System Windows przechowuje także datę i godzinę ostatniego zamknięcia w wartości REG_BINARY o nazwie ShutdownTime w następującej gałęzi:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Windows
Uwaga: Ta metoda pokazuje prawidłowy czas ostatniego wyłączenia tylko wtedy, gdy nie jest używane Szybkie uruchamianie .
Aby przekonwertować dane binarne na formę czytelną, możesz użyć następującego języka VBScript.
'Określ godzinę i datę ostatniego zamknięcia w systemie Windows 10 i wcześniejszych strValueName = "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Windows \" _ & "ShutdownTime" Ustaw oShell = CreateObject ("WScript.Shell") Ar = oShell.RegRead (strValueName ) Termin = Ar (7) * (2 ^ 56) + Ar (6) * (2 ^ 48) + Ar (5) * (2 ^ 40) + Ar (4) * (2 ^ 32) _ + Ar ( 3) * (2 ^ 24) + Ar (2) * (2 ^ 16) + Ar (1) * (2 ^ 8) + Ar (0) Dni = Termin / (1E7 * 86400) WScript.Echo "ShutdownTime = ”I CDate (DateSerial (1601, 1, 1) + dni) _ i„ UTC ” Skopiuj powyższy kod do Notatnika i zapisz plik z rozszerzeniem .vbs . Kliknij dwukrotnie skrypt, aby go uruchomić.
Innym sposobem jest użycie Edytora rejestru do wyeksportowania następującego klucza rejestru do pliku do pliku .txt (zamiast .reg).
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Windows
Eksportowanie klucza do pliku .txt pokazuje czas ostatniego zapisu klucza. Gdy system Windows aktualizuje wartość rejestru ShutdownTime, aktualizowany jest czas ostatniego zapisu klucza.
