可通过事件查看器筛选id 6005事件、计算机管理入口定位、powershell命令导出或格式化显示、以及检查schedlgu.txt文件五种方式查询系统启动时间,均能获取精确到秒的开机时刻。
如果您尝试追溯电脑的系统启动时间,但无法直接从桌面获取开机时刻,则可能是由于系统日志未被主动筛选与定位。以下是通过事件查看器查询系统启动记录的具体操作步骤:
一、使用运行命令直达事件查看器并筛选ID 6005
该方式绕过图形界面层级,直接调用事件查看器主程序,响应迅速且路径稳定,适用于所有具备本地管理员权限的账户。
1、按下Win + R组合键,调出“运行”对话框。
2、在输入框中键入eventvwr.msc,然后按回车键。
3、等待窗口加载完成后,在左侧导航树中依次展开Windows 日志 → 系统。
4、在右侧操作面板中,点击筛选当前日志。
5、在弹出窗口的“事件ID”字段中,输入6005,其他条件保持默认。
6、点击“确定”,列表即刻仅显示所有开机事件,每条均含精确到秒的日期与时间戳。
二、通过计算机管理入口打开事件查看器并定位ID 6005
此路径依托系统预置的完整管理控制台,确保权限上下文一致,特别适合习惯桌面图标操作或需同步执行其他系统管理任务的用户。
1、在桌面或文件资源管理器中,右键单击此电脑图标。
2、从弹出菜单中选择管理,等待“计算机管理”窗口完全加载。
3、在左侧控制台树中,依次展开系统工具 → 事件查看器 → Windows 日志 → 系统。
4、在右侧日志列表区域,点击筛选当前日志。
5、于“事件ID”输入框内填入6005,确认筛选。
6、筛选结果中每条记录的“详细信息”字段均明确标注事件日志服务已启动,即代表一次有效开机。
三、使用PowerShell命令行导出开机事件文本记录
该方法无需图形界面交互,输出为可复制粘贴的纯文本格式,便于离线归档、邮件转发或快速比对多个时间点,适用于批量分析场景。
1、右键点击开始按钮,选择Windows PowerShell(管理员)。
2、输入以下命令并回车:wevtutil qe System /q:"*[System[(EventID=6005)]]" /rd:true /f:text。
3、命令执行后,终端将逐行显示所有匹配的开机事件,包含日期、时间、任务类别及消息摘要。
4、如需保存结果,可在命令末尾添加重定向符号,例如::> C:\startup_log.txt。
四、使用PowerShell一步筛选并格式化显示开机时间
PowerShell提供更灵活的时间字段提取能力,可跳过冗余信息,仅输出简洁的时间戳列表,便于快速浏览。
1、右键点击开始按钮,选择终端(管理员)。
2、输入以下命令并按回车执行:Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} | Select-Object TimeCreated | Sort-Object TimeCreated -Descending | Format-Table -AutoSize。
3、屏幕将直接列出所有开机时间,按最新到最旧排序,每项仅保留TimeCreated字段。
4、若需导出为文本文件,可在命令末尾追加:| Out-File "C:\boot_times.txt"。
五、检查SchedLgU.txt辅助验证开机时间
该文本文件由Windows任务计划程序自动生成,虽非权威开关机日志源,但其中“System Ready Event”等标记常与开机完成时刻高度吻合,可作为交叉验证依据。
1、打开文件资源管理器,在地址栏中输入:%windir%\Tasks,按回车进入任务目录。
2、查找名为SchedLgU.txt的文件;若不存在,可尝试访问%windir%\System32\Tasks路径。
3、右键单击该文件,选择“打开方式”→“记事本”。
4、在文件内容中搜索关键词:System Ready Event或Task Scheduler started。
5、其紧邻的时间行即为系统就绪时刻,通常比ID 6005晚数秒至数十秒,可作辅助比对。
