No Windows (8/7/10), existe alguma maneira de descobrir se o computador estava sendo executado em um determinado momento? (por exemplo, ontem à noite às 22:00, se o computador estava funcionando ou desligado) obrigado
Respostas:
Você pode usar o Windows Event Viewer para fazer isso.
Para iniciar o Visualizador de Eventos no Windows 7:
No Windows 8 e 10, você pode executar o Visualizador de Eventos com o atalho Windows Key+ X+ V. Você também pode abri-lo através do menu Executar. Ou seja, pressione Windows Key+ Rpara abrir a caixa de diálogo Executar, digite eventvwr e clique em OK.
Depois de abrir o Visualizador de Eventos, siga estas etapas:
Observe que pode levar alguns instantes para o Visualizador de Eventos mostrar os logs filtrados.
Em suma:
A identificação de evento 6005 significa "O serviço de log de eventos foi iniciado" (ou seja, horário de inicialização).
A identificação de evento 6006 significa "O serviço de log de eventos foi interrompido" (ou seja, tempo de desligamento).
Se desejar, você também pode adicionar o ID do evento 6013 ao seu filtro - isso exibe o tempo de atividade do sistema após a inicialização.
Por fim, se você deseja verificar regularmente isso, é possível criar uma exibição personalizada para mostrar esse log filtrado. As visualizações personalizadas estão localizadas na parte superior esquerda do painel esquerdo do Windows Event Viewer. Ao adicioná-lo, você pode optar por selecioná-lo sempre que desejar visualizar o log.
Observe que os serviços não param quando o computador entra no modo de suspensão, mas a Kernel-Powerfonte de eventos menciona todas as transições de estado de energia. Para consultar o log de eventos na linha de comando, você pode usar o PowerShell!
Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}
No meu laptop, isso produz uma listagem como esta:
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
10/21/2016 1:20:43 PM 130 Information Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM 131 Information Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM 107 Information The system has resumed from sleep.
10/21/2016 1:16:53 PM 42 Information The system is entering sleep....
10/21/2016 1:06:05 PM 130 Information Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM 131 Information Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM 107 Information The system has resumed from sleep.
10/21/2016 12:29:29 PM 42 Information The system is entering sleep....
Por incrível que pareça, às vezes o tempo no evento 107 está incorreto (este laptop perde a noção do tempo ao reiniciar), mas os próximos eventos "firmware S3 times" acertam.
Obviamente, se o computador for desligado inesperadamente, você não receberá um evento no momento exato do desligamento - o próximo Kernel-Powerserá quando o sistema perceber que a energia foi perdida. Portanto, uma abordagem diferente seria encontrar o evento mais recente de qualquer tipo registrado antes da hora em questão.
Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1
Você substituiria 10/19/2016 12:45 PMpelo tempo em que estivesse interessado. Eu escolhi o log do aplicativo para esta consulta porque geralmente é muito ativo. Se o TimeCreatedevento produzido for mais de uma hora antes do horário fornecido, é provável que o computador não esteja funcionando completamente.
Visualização da hora ativada http://www.nirsoft.net/utils/computer_turned_on_times.html
Praticamente faça a mesma coisa e apresente uma GUI para você.
Ou, se você quiser apenas ver se há uma reinicialização antes da sua sessão atual. Você pode verificar o tempo de atividade.
net statistics server
