在我們日常使用電腦的時候,有時會想知道計算機的開機和關機歷史,用來檢查是否有人未經授權登陸或者是否有被入侵。大多數情況下,系統管理員需要了解經常查看系統日志,以便進行故障排除。如果多人使用電腦,定期檢查電腦的啟動和關閉日志是一個很好的安全措施,以確保電腦被合法使用。
使用事件查看器
windows自帶的事件查看器是一個很好用的工具,可以保存計算機使用過程中發生的各種事件。在每個事件期間,事件查看器都會記錄一個條目。事件查看器是Windows的核心服務,所以它無法被手動停止或禁用。事件查看器還記錄事件日志服務的啟動和關機時間。我們可以利用這些信息來了解我們的計算機是什么時候被哪些用戶啟動或關閉的。
同時按Win+R組合鍵,打開運行界面,輸入eventvwr或者點擊左下角的開始按鈕輸入eventvwr,打開事件查看器。
在事件查看器的左側窗口中,點擊“Widnows日志”->“系統”。
事件查看器中間窗口中,你可以看到一個在運行Windows時發生的事件列表,里面有很多事件,你可以根據需要查看,本教程中我們只關心三件事。首先用事件標識對事件日志進行排序。單擊事件標識標簽,根據事件標識列對數據進行排序。
如果您的事件日志很大,那么加載會很長時間,排序也沒什么作用。此時需要在右側的操作窗口中創建一個過濾器。點擊“篩選當前日志”。
在標記為<所有事件標識>的事件標識字段中鍵入6005、6006。您也可以在記錄下指定時間段。
事件標識6005代表系統啟動。事件標識6006代表系統關閉。如果您想進一步調查事件日志,可以查看事件標識6013,該標識顯示計算機的運行時間,事件標識6009顯示檢測到的處理器信息。事件標識6008顯示未正確關機后的啟動事件。
