ABONNIEREN SIE AUF YOUTUBE
Eine der Aufgaben, die wir täglich erledigen, ist das Ein- und Ausschalten unseres PCs. Es ist etwas Natürliches, an ihm und seinen Anwendungen zu arbeiten und ihn auszuschalten, damit die Nutzungsdauer der Komponenten nicht beeinträchtigt wird oder Aspekte wie z B. den Energieverbrauch, aber es gibt Zeiten, in denen es notwendig ist, sowohl ein- als auch ausgeschaltet Zugriff auf das Protokoll zu haben, und einige davon sind:
- versehentliche Abschaltungen
- elektrische Störungen
- Plötzliche Abschaltungen aufgrund von Treiber- oder Systemfehlern
- Unbefugtes Aus- oder Einschalten
TechnoWikis erläutert in diesem Tutorial verschiedene Möglichkeiten, auf diese Datensätze zuzugreifen und somit die administrative Kontrolle über dieses Segment zu erlangen.
1 Sehen Sie sich das Ein- und Ausschaltprotokoll von Windows 11 in der Ereignisanzeige an
Zweifellos ist dies eine der am häufigsten verwendeten Optionen, um alles zu überprüfen, was beim Ein- und Ausschalten des Systems passiert, da dabei eine ID oder ein Identifikator mit Einzelheiten zum Geschehen gespeichert wird.
Für diesen Fall öffnen wir die Ereignisanzeige über das Startmenü:
In der Viewer-Konsole gehen wir zum Abschnitt „Windows-Protokolle“ und dann zu „System“. Wir hoffen, dass alle zugehörigen Ereignisse geladen werden:
Hier besteht die Möglichkeit auf die Spalte „Id“ zu klicken. der Veranstaltung“, um die Veranstaltungen vom kleinsten bis zum größten zu organisieren:
Um ein direkteres Ergebnis zu erhalten, klicken wir seitlich auf „Aktuellen Datensatz filtern“, um Folgendes anzuzeigen:
Wir müssen bedenken, welche IDs am häufigsten mit dem Ein- und Ausschalten in Windows 11 verbunden sind:
- Ereignis 41: „Das System wurde ohne vorheriges Herunterfahren neu gestartet“ zeigt an, dass der PC ohne ordnungsgemäßes Herunterfahren neu gestartet wurde.
- Ereignis 6006: „Der Ereignisprotokolldienst wurde gestoppt“ bezieht sich auf das Herunterfahren des Systems.
- Ereignis 1074: kann mit verschiedenen Optionen zum Herunterfahren umgehen, tritt jedoch normalerweise dann auf, wenn es als Benutzer oder ein Programm das Herunterfahren verursacht hat.
- Ereignis 6005: „Der Ereignisprotokolldienst wurde gestartet.“ zeigt an, dass das Betriebssystem gestartet wurde.
- Ereignis 1076 – Gibt den Grund an, warum der Computer heruntergefahren oder neu gestartet wurde.
- Ereignis 6013: „Die Systemaktivitätszeit beträgt [Stunde]“, es zeigt Details darüber an, wie lange das Gerät eingeschaltet war, dieser Wert wird in Sekunden angegeben.
- Ereignis 6008: „Das Herunterfahren des Systems vor [Uhrzeit] am [Datum] war unerwartet“ bezieht sich auf das Starten des Computers nach einem erfolglosen Herunterfahren.
- Ereignis 6009: weist auf Probleme im Zusammenhang mit dem Prozessor hin, der zum Herunterfahren des Computers führt.
Im neuen Fenster geben wir die gewünschten IDs ein, um deren Ergebnisse in der Ereignisanzeige anzuzeigen:
Wir speichern die Änderungen:
Wenn Sie auf „OK“ klicken, werden nur diese Ereignisse in der Konsole angezeigt:
Unten sehen wir spezifische Details wie:
- Name der Veranstaltung
- AUSWEIS
- Betroffener Benutzer
- Datum und Uhrzeit der Veranstaltung
- Name des Teams
- Kategorie
2 Sehen Sie sich das Ein- und Ausschaltprotokoll von Windows 11 über die Konsole an
Über die Konsole der Eingabeaufforderung oder das Terminal können wir auf diese Informationen zu den Herunterfahr- und Startereignissen von Windows 11 zugreifen.
Zuerst öffnen wir cmd als Administratoren:
7
Wir akzeptieren Systemberechtigungen:
In der Konsole führen wir den folgenden Befehl aus und geben die Nummer des Ereignisses an, das wir sehen möchten:
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1
Wir haben wevtutil verwendet, ein Befehlszeilentool, mit dem wir die Ereignisprotokolle der Ereignisanzeige verwalten und verwalten können. Durch Drücken der Eingabetaste sehen wir die vollständigen Details des Ereignisses.
Wenn wir nach mehreren Identifikatoren gleichzeitig suchen müssen, klicken wir mit der rechten Maustaste auf das Startmenü und dann auf „Terminal (Administrator)“:
Wir akzeptieren Systemberechtigungen:
Wir führen den folgenden Befehl aus, der die anzuzeigenden IDs angibt:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap Durch Drücken der Eingabetaste sehen wir die Zusammenfassung aller Ereignisse:
3 Sehen Sie sich das Ein- und Ausschaltprotokoll von Windows 11 in der Anwendung an
Schließlich können wir eine kostenlose Anwendung nutzen, die wir unter folgendem Link herunterladen können:
Das Ziel dieses Dienstprogramms besteht darin, das Systemereignisprotokoll zu analysieren, um die Zeitintervalle zu ermitteln, in denen das Gerät eingeschaltet wird. Basierend auf diesen Daten werden Daten wie:
- Startzeit
- Freizeit
- Aktivitätsdauer
- Grund für das Herunterfahren
- Abschalttyp
- Abschaltvorgang
- Shutdown-Code
Unten finden wir den Download-Link. Wir warten, bis der Download abgeschlossen ist.
Im Ordner „Downloads“ klicken wir mit der rechten Maustaste auf die Datei und wählen die Option „Alle extrahieren“:
Wir definieren, wo die Datei extrahiert wird:
Wir klicken auf „Extrahieren“, um den Vorgang abzuschließen:
Wir führen die Datei aus, um auf die Anwendung zuzugreifen.
In diesem Fenster können wir alle Details zum Ein- und Ausschalten des PCs sehen. Wir müssen den Grund in der Spalte „Grund für das Herunterfahren“ bestätigen. Dort wird angezeigt, ob es sich um ein Ein-, Neustart- oder Herunterfahren handelte. Nun gehen wir zum Menü „Optionen“ und klicken dort auf „Erweiterte Optionen“:
Wir werden einige Optionen sehen, die Sie verwenden können:
Es ist möglich, einen Remote-Computer zu überprüfen, auf externe Laufwerke zuzugreifen und vieles mehr:
Diese Optionen sind funktional und nützlich, um Zugriff auf die Ein- und Ausschaltereignisse des Geräts zu haben.