我想检查我的电脑何时启动,我阅读了事件日志 ID 6006 和 6005 来检查日志服务启动和关闭事件......但这种方法不起作用。
最后一次事件日志服务重启是在一个月前,但我确定我的电脑每天都会关机,而且我确定我操作的是“关机”而不是“暂停”!
为什么我找不到这个日志?我如何才能看到我的电脑何时启动或关闭?
答案1
最后我的问题是混合窗口关机:
https://www.howtogeek.com/243901/the-pros-and-cons-of-windows-10s-fast-startup-mode/
启用此选项(Windows 默认)后,服务不会在每次 Windows 启动时启动。这是日志缺失的原因。
答案2
对于那些想要保持快速重启功能的人,我找到了另一个答案。
事件查看器->系统->过滤此日志->现在过滤:
-事件:1,42(1=系统时间已改变=启动/42=系统正在进入睡眠状态)
-事件源:Kernel-General、Kernel-Power(您将获得任务类别 5/64)
日志中唯一遗漏的是当你只是关闭盖子而没有“关机”时,这也会记录下来
答案3
- 可能是日志记录机制因各种原因而停止或损坏。您可能需要清除并重置才能让一切恢复正常
- 可能是恶意软件/有人闯入并清除了你的日志
- 可能是日志的长度有限,必须进行裁剪才能保持特定大小并节省硬盘空间。清除和重置是唯一的选择
- 可能是你看错了地方,或者是某种过滤器阻止了你看东西(但我对此表示怀疑,因为如果你已经知道该看哪里,你就会知道这一点)
- 如果您仍然无法让一切正常运转,我会考虑创建一个小脚本或某种程序,将事件记录到您自己选择的文件中,因为那里的大多数选项似乎都依赖于事件查看器正常工作。在 Windows 启动文件夹、注册表、msconfig 中进行相关输入以使一切正常运转,或者将其转变为 Windows 服务,轮询您在启动或关闭期间看到的事件。这应该可以作为后备方案……
https://www.maketecheasier.com/see-pc-startup-and-shutdown-history-in-windows/