如何查明 Windows 是否在特定时间运行？

Question 1

您可以使用Windows 事件查看器去做这个。

要在 Windows 7 中启动事件查看器：

单击“开始”按钮
单击“控制面板”
单击系统和维护
单击“管理工具”
双击事件查看器

在 Windows 8 和 10 中，您可以使用Windows Key++快捷键运行事件查看器。您也可以通过运行菜单打开它。也就是说，按+打开运行对话框，然后输入XVWindows KeyR事件日志然后单击“确定”。

打开事件查看器后，请按照以下步骤操作：

在左侧窗格中转到Windows 日志 > 系统
在右侧窗格中，您将看到 Windows 运行时发生的事件列表
单击事件 ID 标签可按事件 ID 列对数据进行排序
您的事件日志可能会非常长，因此您需要创建一个过滤器。
在右侧的操作窗格中，单击“过滤当前日志”
在未标记的字段中输入 6005, 6006（见下面的屏幕截图）：

单击“确定”

请注意，事件查看器可能需要一些时间才能显示过滤后的日志。

总之：

事件 ID 6005表示“事件日志服务已启动”（即启动时间）。

事件 ID 6006表示“事件日志服务已停止”（即关机时间）。

如果您愿意，您还可以将事件 ID 6013 添加到您的过滤器 - 这将显示系统启动后的正常运行时间。

最后，如果您想要定期检查，您可以创建自定义视图来显示此过滤日志。自定义视图位于 Windows 事件查看器左窗格的左上角。通过将其添加到那里，您可以选择在想要查看日志时选择它。

Answer

您可以使用Windows 事件查看器去做这个。

要在 Windows 7 中启动事件查看器：

单击“开始”按钮
单击“控制面板”
单击系统和维护
单击“管理工具”
双击事件查看器

在 Windows 8 和 10 中，您可以使用Windows Key++快捷键运行事件查看器。您也可以通过运行菜单打开它。也就是说，按+打开运行对话框，然后输入XVWindows KeyR事件日志然后单击“确定”。

打开事件查看器后，请按照以下步骤操作：

在左侧窗格中转到Windows 日志 > 系统
在右侧窗格中，您将看到 Windows 运行时发生的事件列表
单击事件 ID 标签可按事件 ID 列对数据进行排序
您的事件日志可能会非常长，因此您需要创建一个过滤器。
在右侧的操作窗格中，单击“过滤当前日志”
在未标记的字段中输入 6005, 6006（见下面的屏幕截图）：

单击“确定”

请注意，事件查看器可能需要一些时间才能显示过滤后的日志。

总之：

事件 ID 6005表示“事件日志服务已启动”（即启动时间）。

事件 ID 6006表示“事件日志服务已停止”（即关机时间）。

如果您愿意，您还可以将事件 ID 6013 添加到您的过滤器 - 这将显示系统启动后的正常运行时间。

最后，如果您想要定期检查，您可以创建自定义视图来显示此过滤日志。自定义视图位于 Windows 事件查看器左窗格的左上角。通过将其添加到那里，您可以选择在想要查看日志时选择它。

Question 2

请注意，计算机进入睡眠状态时服务不会停止，但Kernel-Power事件源会提及所有电源状态转换。要从命令行查询事件日志，您可以使用 PowerShell！

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

在我的笔记本电脑上，会产生如下列表：

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

奇怪的是，有时事件 107 上的时间不正确（这台笔记本电脑在恢复时会短暂地失去时间），但接下来的“固件 S3 时间”事件就会正确。

当然，如果计算机意外关机，您不会在关机的确切时间收到事件 - 下一次事件Kernel-Power将是系统意识到断电时。因此，另一种方法是查找在相关时间之前记录的任何类型的最新事件。

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

您需要将其替换10/19/2016 12:45 PM为您感兴趣的时间。我选择应用程序日志来进行此查询，因为它通常非常活跃。如果TimeCreated生成的事件的时间比您提供的时间早一个多小时左右，则计算机可能未完全运行。

Answer

请注意，计算机进入睡眠状态时服务不会停止，但Kernel-Power事件源会提及所有电源状态转换。要从命令行查询事件日志，您可以使用 PowerShell！

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

在我的笔记本电脑上，会产生如下列表：

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

奇怪的是，有时事件 107 上的时间不正确（这台笔记本电脑在恢复时会短暂地失去时间），但接下来的“固件 S3 时间”事件就会正确。

当然，如果计算机意外关机，您不会在关机的确切时间收到事件 - 下一次事件Kernel-Power将是系统意识到断电时。因此，另一种方法是查找在相关时间之前记录的任何类型的最新事件。

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

您需要将其替换10/19/2016 12:45 PM为您感兴趣的时间。我选择应用程序日志来进行此查询，因为它通常非常活跃。如果TimeCreated生成的事件的时间比您提供的时间早一个多小时左右，则计算机可能未完全运行。

Question 3

开机时间视图 http://www.nirsoft.net/utils/computer_turned_on_times.html

几乎做同样的事情并为您提供一个 GUI。

或者，如果您只是想看看在当前会话之前是否有重新启动。您可能需要检查启动时间。

net statistics server

Answer

开机时间视图 http://www.nirsoft.net/utils/computer_turned_on_times.html

几乎做同样的事情并为您提供一个 GUI。

或者，如果您只是想看看在当前会话之前是否有重新启动。您可能需要检查启动时间。

net statistics server

如何查明 Windows 是否在特定时间运行？

答案1

答案2

答案3

相关内容