Como descobrir se o Windows estava sendo executado em um determinado momento?

No Windows (8/7/10), existe alguma maneira de descobrir se o computador estava sendo executado em um determinado momento? (por exemplo, ontem à noite às 22:00, se o computador estava funcionando ou desligado) obrigado

Você pode usar o Windows Event Viewer para fazer isso.

Para iniciar o Visualizador de Eventos no Windows 7:

• Clique no botão Iniciar
• Clique em Painel de Controle.
• Clique em Sistema e Manutenção
• Clique em Ferramentas administrativas.
• Clique duas vezes em Visualizador de Eventos

No Windows 8 e 10, você pode executar o Visualizador de Eventos com o atalho Windows Key+ X+ V. Você também pode abri-lo através do menu Executar. Ou seja, pressione Windows Key+ Rpara abrir a caixa de diálogo Executar, digite eventvwr e clique em OK.

Depois de abrir o Visualizador de Eventos, siga estas etapas:

1. No painel esquerdo, vá para Logs do Windows> Sistema
2. No painel direito, você verá uma lista de eventos que ocorreram enquanto o Windows estava sendo executado
3. Clique no rótulo da identificação do evento para classificar os dados pela coluna identificação do evento
4. É possível que o seu log de eventos seja extremamente longo, portanto, você precisará criar um filtro.
5. No painel Ações, no lado direito, clique em "Filtrar registro atual"
6. Digite 6005, 6006 no campo não rotulado (veja a captura de tela abaixo):

7. Clique OK

Observe que pode levar alguns instantes para o Visualizador de Eventos mostrar os logs filtrados.

Em suma:

A identificação de evento 6005 significa "O serviço de log de eventos foi iniciado" (ou seja, horário de inicialização).

A identificação de evento 6006 significa "O serviço de log de eventos foi interrompido" (ou seja, tempo de desligamento).

Se desejar, você também pode adicionar o ID do evento 6013 ao seu filtro - isso exibe o tempo de atividade do sistema após a inicialização.

Por fim, se você deseja verificar regularmente isso, é possível criar uma exibição personalizada para mostrar esse log filtrado. As visualizações personalizadas estão localizadas na parte superior esquerda do painel esquerdo do Windows Event Viewer. Ao adicioná-lo, você pode optar por selecioná-lo sempre que desejar visualizar o log.

Observe que os serviços não param quando o computador entra no modo de suspensão, mas a Kernel-Powerfonte de eventos menciona todas as transições de estado de energia. Para consultar o log de eventos na linha de comando, você pode usar o PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

No meu laptop, isso produz uma listagem como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Por incrível que pareça, às vezes o tempo no evento 107 está incorreto (este laptop perde a noção do tempo ao reiniciar), mas os próximos eventos "firmware S3 times" acertam.

Obviamente, se o computador for desligado inesperadamente, você não receberá um evento no momento exato do desligamento - o próximo Kernel-Powerserá quando o sistema perceber que a energia foi perdida. Portanto, uma abordagem diferente seria encontrar o evento mais recente de qualquer tipo registrado antes da hora em questão.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Você substituiria 10/19/2016 12:45 PMpelo tempo em que estivesse interessado. Eu escolhi o log do aplicativo para esta consulta porque geralmente é muito ativo. Se o TimeCreatedevento produzido for mais de uma hora antes do horário fornecido, é provável que o computador não esteja funcionando completamente.

Visualização da hora ativada http://www.nirsoft.net/utils/computer_turned_on_times.html

Praticamente faça a mesma coisa e apresente uma GUI para você.

Ou, se você quiser apenas ver se há uma reinicialização antes da sua sessão atual. Você pode verificar o tempo de atividade.

net statistics server