Windows 11/10系统关机和启动日志查看方法详解

Windows 11/10系统关机和启动日志查看方法详解

在Windows系统中，查看关机和启动日志可以帮助用户了解系统运行状态，排查故障，特别是在公共系统中，管理员可以通过查看日志监控系统使用情况。本文将详细介绍如何使用Windows事件查看器查看关机和启动日志。

什么是Windows事件查看器？

Windows事件查看器是一个Microsoft管理控制台（MCC）——一项无法停止或禁用的Windows核心服务。它会跟踪您的电脑上发生的每项活动。在每个事件期间，事件查看器都会记录条目。它还记录事件日志服务（Windows）的启动和停止时间，提供每个关闭过程的正确日期、时间和用户详细信息。

如何使用事件查看器？

除了记录Windows启动和停止的时间之外，您还可以使用事件查看器执行以下操作：

1. 通过保存有用的事件过滤器来创建自定义视图。
2. 您可以查看来自不同事件日志的事件。
3. 您还可以创建和管理不同的事件订阅。
4. 创建并计划任务在由另一个事件触发时运行。

Windows中与关闭和重新启动相关的事件类型

它们是超过四个与关闭和重新启动Windows 10操作系统相关的事件；我们将列出重要的五个。他们是：

• 事件ID 41：此事件表示Windows在未完全关闭的情况下重新启动。
• 事件ID 1074：当应用程序负责系统关闭或重新启动时，会记录此事件。它还指示用户何时通过使用开始菜单或按CTRL+ALT+DEL重新启动或关闭系统。
• 事件ID 6006：此事件表明Windows已完全关闭。
• 事件ID 6008：此事件表示不正确或不正常的关闭。当最近一次意外关闭时，它会显示。

如何在Windows 11/10中查找关机日志

它们是找出上面列出的任何事件的不同方法。传统方式是通过事件查看器应用程序本身。大多数事件都可以通过命令提示符访问，如下所示。

查看电脑启动和关闭历史记录

1. 从事件查看器查看关机和重启事件

打开运行对话框，输入eventvwr.msc，然后点击确定。在事件查看器中，从左侧窗格中选择Windows日志>系统。单击右侧的过滤当前日志链接。

在包含/排除事件ID...下面的框中输入41,1074,6006,6008，然后点击确定。然后Windows显示所有与关机相关的事件。

事件查看器显示系统上执行的每个操作的详细信息。在本文中了解如何查看完整的事件查看器日志。

2. 使用命令提示符查看上次关机时间

打开命令提示符，将以下代码复制并粘贴到窗口中，然后按Enter：

wevtutil qe system "/q:*[System [(EventID=1074)]]" /rd:true /f:text /c:1

要查看上次关闭的时间戳（不带其他详细信息），请复制并粘贴下面的代码，然后按Enter：

wevtutil qe system "/q:*[System [(EventID=1074)]]" /rd:true /f:text /c:1 | findstr /i "date"

尽管此方法可以完成工作，但我们通常建议您使用方法一，即事件查看器。不仅更简单，而且不涉及复制和粘贴命令。