可通过事件查看器系统日志中事件ID 6005(开机)、6006(正常关机)、6008(意外断电)、1074(重启/关机)精准定位Windows 11设备开关机时间,支持图形界面筛选、PowerShell批量导出、Winlogon来源过滤、计算机管理集成访问及开始菜单快捷启动五种方法。
如果您需要确认Windows 11设备的开机、关机、重启或意外断电时间,则可通过事件查看器中系统日志的特定事件ID进行精准定位。以下是多种可行的操作路径与筛选方法:
一、通过事件ID筛选开关机核心事件
事件查看器为不同系统状态分配了唯一事件ID,其中6005、6006、6008和1074分别对应开机、正常关机、意外断电及用户/程序触发的重启或关机。一次性筛选这些ID可集中呈现全部开关机行为记录。
1、按下Win + R组合键,打开“运行”对话框。
2、输入eventvwr.msc并按回车,启动事件查看器。
3、在左侧导航栏中,依次展开Windows 日志 → 系统。
4、在右侧操作面板中,点击筛选当前日志。
5、在弹出窗口的“事件ID”文本框中,输入6005,6006,6008,1074(英文逗号分隔)。
6、点击确定,列表将仅显示这四类关键事件,每条记录均包含精确时间戳与触发来源。
二、使用PowerShell批量查询并导出开关机日志
PowerShell支持结构化查询与时间排序,适用于需快速获取近期完整记录或生成文本报告的场景,无需手动翻页即可获得倒序排列的结果。
1、右键点击“开始”按钮,选择终端(管理员)。
2、执行以下命令以列出最近所有匹配的开关机事件:
Get-WinEvent -LogName System | Where-Object {$_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074} | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize
3、如需保存为文本文件,追加输出重定向命令:
Out-File "C:\开关机记录.txt"
三、通过Winlogon事件来源筛选用户级开关机行为
winlogon进程负责处理登录会话生命周期,其产生的日志可反映用户交互式开关机动作,补充系统服务级事件的视角,尤其适用于判断实际人工操作时段。
1、在事件查看器中进入Windows 日志 → 系统。
2、右侧点击筛选当前日志。
3、在“事件来源”下拉菜单中,选择Winlogon。
4、勾选所有事件级别,并设置时间范围为“任何时间”,点击确定。
5、结果中将显示由用户登录/注销、锁屏/唤醒等引发的开关机关联事件。
四、利用计算机管理控制台间接访问事件查看器
计算机管理集成多个系统工具,适合在执行其他维护任务时同步调取事件日志,避免重复启动独立应用,提升操作连贯性。
1、右键点击桌面或任务栏上的此电脑图标。
2、从上下文菜单中选择管理。
3、在打开的计算机管理窗口左侧导航栏中,展开系统工具。
4、点击事件查看器,随后按前述方法进入“系统”日志并筛选事件ID。
五、通过开始菜单快捷搜索直接启动事件查看器
对于不熟悉命令或快捷键的用户,系统内置的语义化搜索功能可快速定位事件查看器应用,降低操作门槛。
1、点击任务栏左下角开始按钮或按下Win键。
2、在搜索框中输入事件查看器或event viewer。
3、在搜索结果顶部找到官方应用图标,单击即可启动。
4、后续操作与方法一完全一致:展开Windows 日志 → 点击系统 → 筛选当前日志 → 输入6005,6006,6008,1074。
