Du kan använda Windows Event Viewer för att se när din dator stängdes, startade eller gick i viloläge. Så här::
1. Åtkomst till Event Viewer:
* metod 1 (sökning): Skriv "Event Viewer" i Windows -sökfältet (bredvid startknappen) och tryck på Enter.
* Metod 2 (kontrollpanelen): Öppen kontrollpanel (sök efter den eller högerklicka på Start-knappen), gå till "System och säkerhet", sedan "Administrativa verktyg" och sedan dubbelklicka på "Event Viewer."
2. Hitta avstängning/start -evenemang:
* Windows Logs: I fönstret Event Viewer, i den vänstra rutan, expandera "Windows Logs".
* System: Klicka på "System". Denna logg innehåller händelser på systemnivå, inklusive start-, avstängning och hårdvarorelaterade händelser.
3. Filtreringshändelser (viktigt! Det finns många händelser i systemloggen):
* Filter strömlog ...: Klicka på "Filter Current Log ..." i den högra rutan. Detta öppnar fönstret "Filter Current Log".
* Event -ID: Använd dessa evenemangs -ID för att filtrera för specifika avstängning och starthändelser:
* 6005: Event Log Service startades. Detta betyder vanligtvis en start/start (även om det * kan * också innebära bara händelseloggtjänsten startade om).
* 6006: Event Log Service stoppades. Detta indikerar vanligtvis en korrekt avstängning.
* 6008: En oväntad avstängning inträffade. Detta är användbart för att hitta kraschar eller strömavbrott som inte tillät Windows att stänga av rent.
* 41: Kärnkraft. En kritisk händelse som indikerar att systemet startas om utan en ren avstängning. Ofta relaterad till kraftförlust eller en krasch. (Titta på detaljerna "Bugcheckcode" i fliken Detaljer för mer specifik kraschinformation.)
* 1074: Loggad när en applikation får systemet att starta om eller stängas av (t.ex. Windows -uppdatering). Loggposten innehåller vanligtvis namnet på applikationen som initierade avstängningen eller omstarten.
* Tillämpa filtret:
1. I fönstret "Filter Current Log", i fältet "Event IDS", ange händelse -ID:erna du vill hitta (t.ex. `6005 6006 6008,41,1074`). Separera flera ID med komma.
2. Klicka på "OK".
4. Granska de filtrerade loggarna:
Huvudevenemangsvisaren kommer nu bara att visa händelser som matchar ditt filter. Titta på kolumnen "Datum och tid" för att se när händelserna inträffade.
* Tolkning av resultaten:
* 6005 följt av 6006: Denna sekvens indikerar en normal start- och avstängningscykel. Tidsstämplarna kommer att berätta varaktigheten.
* 6008 eller 41: Dessa händelser antyder en onormal avstängning (krasch, strömavbrott). Undersök andra händelser ungefär samtidigt för ledtrådar. De 41 händelserna har ofta en "bugcheckcode" på fliken Detaljer, vilket indikerar kraschanledningen.
* 1074: Kontrollera fliken Detaljer för applikationen som begärde omstart eller avstängning.
5. Hitta tomgångstid:
Detta är mer komplicerat och mindre pålitligt med hjälp av evenemangsvisaren. I tomgångstid loggas inte direkt som en specifik händelse. Du måste dra slutsatsen baserat på frånvaron av andra händelser och närvaron av användaraktivitet (som inte heller är direkt inloggad i alla fall).
* Säkerhetslogg (potentiellt): Loggen "Security" * kan * innehålla inloggnings- och inloggningshändelser (händelse -ID 4624 för inloggning, 4634 för logoff), om revision är aktiverad. Om du ser en logoff -händelse, följt av en betydande period utan andra händelser, kan det * indikera ledig tid, särskilt om datorn är inställd på att låsa efter en viss ledig period. Detta är dock inte en garanterad metod.
* Systemlogg (indirekt): Leta efter perioder i loggen "System" där det finns * mycket få * händelser relaterade till användaraktiviteter eller applikationsprocesser. Detta är mycket subjektivt och benäget att fel. Det är svårt att skilja mellan verklig ledighet och bakgrundsprocesser som bara går tyst.
Viktiga överväganden för ledig tid:
* Revisionskrav: Du kan behöva möjliggöra revision av inloggning/inloggningshändelser i den lokala säkerhetspolicyn för att "Security" -loggen är användbar. Detta kan öka logstorleken. (Sök efter "lokal säkerhetspolicy" i startmenyn). Navigera till `Säkerhetsinställningar -> Lokal policy -> Revisionspolicy". Aktivera "Revision Logon Events" och "Audit Logoff -händelser" (både framgång och misslyckande).
* Systemkonfiguration: Tillförlitligheten för att använda händelsevisare för tomgångstid beror väsentligt på hur systemet är konfigurerat. Om det finns många bakgrundsuppgifter eller schemalagda processer kommer det att vara svårare att identifiera perioder med äkta användarinaktivitet.
* Inställningar för krafthantering: Windows Power Management -inställningar (sömn, viloläge) kan komplicera frågor. En period av inaktivitet kan leda till att systemet kommer in i ett sömntillstånd, som kan loggas, men inte nödvändigtvis betyder att användaren var borta.
* Tredjepartsverktyg: För mer exakt spårning av tomgångstid, överväg att använda tredjepartsövervakningsverktyg. Dessa verktyg är specifikt utformade för att spåra användaraktivitet och inaktivitet och ger ofta mer detaljerade rapporter. De kommer dock att drabbas av en integritetsavvägning.
Exempel Scenario:
Låt oss säga att du ser följande händelser i loggen "System" (efter filtrering för IDS 6005, 6006, 6008, 41, 1074):
* 08:00: Event ID 6005 (Event Log Service startade) - troligtvis en start.
* 05:00: Event ID 6006 (Event Log Service Stopped) - troligtvis en normal avstängning.
Detta antyder att datorn var påslagen och i användning (åtminstone intermittent) mellan 08:00 och 17:00. Om du vill veta om det var ledigt under någon tid under de 9 timmarna, skulle du behöva undersöka händelserna * mellan * dessa två händelser och försöka dra slutsatsen från de loggade händelserna. Som förklarats ovan är det svårt och opålitligt.
Sammanfattningsvis:
* Använd evenemangsvisaren för att enkelt hitta avstängningar och startups.
* Var * mycket * försiktig med att förlita sig på evenemangsvisaren för korrekt spårning av vilolid. Tredjepartsverktyg är i allmänhet bättre lämpade för detta ändamål.
