Sie können den Windows -Event -Viewer verwenden, um zu sehen, wann Ihr PC heruntergefahren, angefangen oder im Leerlauf gegangen ist. So wie:wie:
1. Zugriff auf Ereigniszuschauer:
* Methode 1 (Suche): Geben Sie "Event Viewer" in die Windows -Suchleiste (neben der Starttaste) ein und drücken Sie die Eingabetaste.
* Methode 2 (Bedienfeld): Öffnen Sie das Bedienfeld (suchen Sie danach oder klicken Sie mit der rechten Maustaste auf die Schaltfläche Start), gehen Sie zu "System und Sicherheit", dann "Verwaltungswerkzeuge" und doppelklicken Sie dann auf "Event Viewer".
2. Finden von Abschalt-/Startereignissen:
* Windows -Protokolle: Erweitern Sie im Fenster Event Viewer im linken Bereich "Windows -Protokolle".
* System: Klicken Sie auf "System". Dieses Protokoll enthält Ereignisse auf Systemebene wie Boot, Herunterfahren und Hardware-bezogene Ereignisse.
3. Filterereignisse (wichtig! Es gibt viele Ereignisse im Systemprotokoll):
* Filterstromprotokoll ...: Klicken Sie im rechten Bereich auf "Aktuelles Protokollfilter filtern ...". Dadurch wird das Fenster "Aktueller Protokollfilter" geöffnet.
* Ereignis -IDs: Verwenden Sie diese Ereignis -IDs, um spezifische Abschalt- und Startereignisse zu filtern:
* 6005: Der Event -Protokolldienst wurde gestartet. Dies bedeutet normalerweise einen Start/Startup (obwohl es * * auch nur den Neustart des Event -Protokolls bedeuten kann).
* 6006: Der Event -Protokolldienst wurde gestoppt. Dies zeigt normalerweise ein ordnungsgemäßes Abschalten an.
* 6008: Eine unerwartete Abschaltung trat auf. Dies ist nützlich, um Abstürze oder Stromausfälle zu finden, bei denen Windows nicht sauber heruntergefahren werden konnte.
* 41: Kernelkraft. Ein kritisches Ereignis, das das System ohne sauberes Herunterfahren neu gestartet hat. Oft im Zusammenhang mit Stromverlust oder einem Absturz. (Schauen Sie sich das Detail von 'Bugcheckcode' in der Registerkarte Details an, um spezifischere Absturzinformationen zu erhalten.)
* 1074: Protokolliert, wenn eine Anwendung das System neu gestartet oder heruntergeschaltet hat (z. B. Windows -Update). Der Protokolleintrag enthält normalerweise den Namen der Anwendung, die das Herunterfahren oder den Neustart eingeleitet hat.
* den Filter anwenden:
1. Geben Sie im Fenster "Aktuelle Protokoll des aktuellen Protokolls" im Feld "Ereignis -IDs" die Ereignis -IDs ein, die Sie finden möchten (z. B. 6005.6006.6008.41.1074 "). Trennende mehrere IDs mit Kommas.
2. Klicken Sie auf "OK".
4. Überprüfung der gefilterten Protokolle:
Der Hauptbereich für den Hauptereignis zeigt jetzt nur Ereignisse, die Ihrem Filter entsprechen. Schauen Sie sich die Spalte "Datum und Uhrzeit" an, um zu sehen, wann die Ereignisse aufgetreten sind.
* die Ergebnisse interpretieren:
* 6005 gefolgt von 6006: Diese Sequenz zeigt einen normalen Start- und Abschaltungszyklus an. Die Zeitstempel sagen Ihnen die Dauer.
* 6008 oder 41: Diese Ereignisse deuten auf eine abnormale Abschaltung hin (Absturz, Stromausfall). Untersuchen Sie andere Ereignisse ungefähr zur gleichen Zeit auf Hinweise. Die 41 Ereignisse haben häufig einen "Bugcheckcode" in der Registerkarte Details, die den Absturzgrund anzeigt.
* 1074: Überprüfen Sie die Registerkarte Details für die Anwendung, die den Neustart oder das Herunterfahren angefordert hat.
5. Leerlaufzeit finden:
Dies ist komplexer und weniger zuverlässig mit Ereigniszuschauer. Die Leerlaufzeit ist nicht direkt als bestimmtes Ereignis angemeldet. Sie müssen es basierend auf dem Fehlen anderer Ereignisse und dem Vorhandensein von Benutzeraktivitäten (die auch in allen Fällen nicht direkt angemeldet ist) schließen müssen.
* Sicherheitsprotokoll (möglicherweise): Das `Security` -Protokoll * enthält möglicherweise Anmeldeereignisse und Anmeldeereignisse (Ereignis -ID 4624 für Anmeldung, 4634 für den Abmeldung), wenn die Prüfung aktiviert ist. Wenn Sie ein Anmeldeereignis sehen, gefolgt von einem erheblichen Zeitraum ohne andere Ereignisse, könnte * die Leerlaufzeit angeben, insbesondere wenn der Computer nach einer bestimmten Leerlaufzeit auf die Sperre eingestellt ist. Dies ist jedoch keine garantierte Methode.
* Systemprotokoll (indirekt): Suchen Sie nach Zeiträumen im "System" -Protokoll, in denen es * nur sehr wenige * Ereignisse im Zusammenhang mit Benutzeraktivitäten oder Anwendungsprozessen gibt. Dies ist sehr subjektiv und fehleranfällig. Es ist schwierig, zwischen wahren Müßiggang und Hintergrundprozessen zu unterscheiden, die nur leise laufen.
Wichtige Überlegungen für die Leerlaufzeit:
* Prüfungsanforderungen: Möglicherweise müssen Sie die Prüfung von Anmeldungs-/Anmeldeereignissen in der lokalen Sicherheitsrichtlinie aktivieren, damit das "Sicherheitsprotokoll" nützlich ist. Dies kann die Protokollgröße erhöhen. (Suchen Sie im Startmenü nach "lokalen Sicherheitsrichtlinien"). Navigieren Sie zu `Sicherheitseinstellungen -> Lokale Richtlinien -> Prüfungsrichtlinie". Aktivieren Sie "Ereignisse für Audit -Anmeldungen" und "Audit -Logoff -Ereignisse" (sowohl Erfolg als auch Misserfolg).
* Systemkonfiguration: Die Zuverlässigkeit der Verwendung von Event Viewer für die Leerlaufzeit hängt erheblich davon ab, wie das System konfiguriert ist. Wenn es viele Hintergrundaufgaben oder geplante Prozesse gibt, ist es schwieriger, Zeiten echter Benutzerinaktivität zu identifizieren.
* Einstellungen für Stromverwaltung: Die Einstellungen für das Windows -Leistungsmanagement (Schlaf, Winterschlaf) können die Angelegenheit komplizieren. Eine Inaktivitätszeit könnte dazu führen, dass das System in einen Schlafzustand eintritt, der angemeldet werden könnte, aber nicht unbedingt bedeutet, dass der Benutzer weg war.
* Tools von Drittanbietern: Für eine genauere Verfolgung der Leerlaufzeit sollten Sie die Überwachungstools von Drittanbietern verwenden. Diese Tools sind speziell entwickelt, um die Benutzeraktivität und Inaktivität zu verfolgen und häufig detailliertere Berichte bereitzustellen. Sie werden jedoch einen Kompromiss für Privatsphäre anfallen.
Beispielszenario:
Angenommen, Sie sehen die folgenden Ereignisse im "System" -Protokoll (nach Filtern für IDS 6005, 6006, 6008, 41, 1074):
* 08:00 Uhr: Ereignis -ID 6005 (Event -Protokoll -Dienst gestartet) - wahrscheinlich ein Start.
* 05:00 Uhr: Ereignis -ID 6006 (Ereignisprotokollservice gestoppt) - Wahrscheinlich eine normale Abschaltung.
Dies deutet darauf hin, dass der Computer zwischen 8:00 und 17:00 Uhr angetrieben und (zumindest zeitweise) angetrieben wurde. Wenn Sie wissen möchten, ob es in diesen 9 Stunden für die Zeit im Leerlauf war, müssten Sie die Ereignisse * zwischen * diesen beiden Ereignissen untersuchen und versuchen, die Aktivitäten aus den angemeldeten Ereignissen abzuleiten. Wie oben erläutert, ist das schwierig und unzuverlässig.
Zusammenfassend:
* Verwenden Sie Event Viewer, um einfach Herunterfahren und Startups zu finden.
* Sei * sehr * Tools von Drittanbietern sind für diesen Zweck im Allgemeinen besser geeignet.