在 Windows 11 中,​ 快速查看电脑的 ​​启动、关机、重启和意外断电​​ 的记录

在 Windows 11 中,可以通过 事件查看器(Event Viewer) 快速查看电脑的 启动、关机、重启和意外断电 的记录。以下是详细步骤:

方法 1:使用事件查看器(Event Viewer)

1. 打开事件查看器

快捷键Win + R → 输入 eventvwr.msc → 回车
• 或搜索 "事件查看器" 并打开。

2. 查看系统启动和关机记录

  1. 在左侧导航栏展开:
    Windows 日志系统

  2. 筛选事件 ID(关键 ID):
    启动(开机)6005(事件日志服务已启动)
    关机(正常)6006(事件日志服务已停止)
    意外关机/断电6008(上一次系统意外关闭)
    重启1074(用户或系统触发的重启/关机)

  3. 筛选日志(快速定位):
    • 右侧点击 "筛选当前日志"
    • 在 "事件 ID" 框中输入 6005,6006,6008,1074(用英文逗号分隔)→ 确定

  4. 查看记录
    • 双击事件可查看 详细时间 和原因(如用户关机、系统崩溃等)。

方法 2:使用 PowerShell 快速导出记录

1. 打开 PowerShell(管理员权限)

Win + X → 选择 终端(管理员)
• 输入以下命令导出最近 7 天的开关机记录:

Get-WinEvent -LogName System | Where-Object { $_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074 } | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

说明
6005=启动,6006=关机,6008=意外断电,1074=计划重启/关机。
◦ 时间按最新到最旧排序。

2. 导出到文本文件(可选)

Get-WinEvent -LogName System | Where-Object { $_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074 } | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Out-File "C:\开关机记录.txt"

• 文件会保存在 C:\开关机记录.txt

方法 3:使用第三方工具(更直观)

如果觉得事件查看器复杂,可以用以下工具:

  1. TurnedOnTimesView(免费工具)
    • 下载地址:NirSoft TurnedOnTimesView
    • 直接运行即可显示 所有启动/关机时间 和持续时间。
  2. LastActivityView(查看完整活动记录)
    • 下载地址:NirSoft LastActivityView

如何区分正常关机和意外断电?

事件 ID 含义 常见原因
6005 系统启动 正常开机
6006 正常关机 用户点击关机/计划任务关机
6008 意外断电/强制关机 长按电源键/蓝屏/停电
1074 计划重启或关机 Windows更新/用户手动重启

总结

最快方法:事件查看器 → 筛选 6005,6006,6008,1074
批量分析:用 PowerShell 导出记录。
懒人工具TurnedOnTimesView 一键查看。

如果有其他问题(如日志被覆盖),可以尝试调整日志大小(事件查看器 → 右键“系统”日志 → 属性 → 增加最大日志大小)。

posted @ 2025-04-07 10:01  Micky233  阅读(13309)  评论(0)    收藏  举报