如果您希望确认 Windows 10 系统最近一次或多次启动的确切时间,系统已自动将每次开机行为记录为结构化事件,可通过事件查看器提取并验证。以下是多种可行的操作路径:
一、通过运行命令启动事件查看器并筛选开机事件
该方式直接调用系统原生管理模块,响应快、路径稳定,适用于所有具备本地账户权限的用户。事件ID 6005 标识“事件日志服务已启动”,是公认的可靠开机标志;事件ID 12(Kernel-General)与107(User32)则分别代表登录界面就绪和用户会话初始化,可作为辅助确认依据。
1、按下 Win + R 组合键,打开“运行”对话框。
2、在输入框中键入 eventvwr.msc,按回车键启动事件查看器。
3、在左侧导航栏中,依次展开 Windows 日志 → 系统。
4、在右侧操作面板中,点击 筛选当前日志…。
5、在弹出窗口的“事件ID”字段中输入:6005,12,107(英文逗号分隔)。
6、点击“确定”,列表即显示所有匹配的开机事件,每条均含精确到秒的日期与时间戳。
二、通过计算机管理界面进入事件查看器并定位开机记录
此路径依托系统预置的完整管理控制台,确保权限上下文一致,特别适合习惯桌面图标操作或需同步执行其他系统管理任务的用户。所有日志条目均源自同一系统服务,数据完整性与图形界面方法完全等效。
1、在桌面或文件资源管理器中,右键单击 此电脑 图标。
2、从弹出菜单中选择 管理,等待“计算机管理”窗口加载完成。
3、在左侧控制台树中,依次展开 系统工具 → 事件查看器 → Windows 日志 → 系统。
4、在右侧日志列表区域空白处右键单击,选择 筛选当前日志…。
5、于“事件ID”输入框内填入:6005,12,107,其他选项保持默认。
6、点击“确定”后,筛选结果中每条记录的“详细信息”字段均可验证其为有效开机事件。
三、使用 PowerShell 命令行导出开机事件文本记录
该方法无需图形界面交互,输出为纯文本格式,便于离线归档、邮件转发或快速比对多个时间点,适用于批量分析场景。wevtutil 是 Windows 原生命令行工具,执行时需管理员权限以确保完整日志访问。
1、右键点击开始按钮,选择 Windows PowerShell(管理员)。
2、输入以下命令并回车:wevtutil qe System /q:”*[System[(EventID=6005 or EventID=12 or EventID=107)]]” /rd:true /f:text。
3、终端将逐行显示所有匹配的开机事件,包含日期、时间、任务类别及消息摘要。
4、如需保存结果,可在命令末尾添加重定向符号,例如::> C:\startup_events.txt。
四、结合 SchedLgU.txt 文件交叉验证开机时间
该文本文件由 Windows 任务计划程序自动生成,虽非权威开关机日志源,但其中 “System Ready Event” 等标记常与开机完成时刻高度吻合,可作为独立佐证手段。文件位于系统盘 Windows 目录下,无需额外权限即可读取。
1、打开文件资源管理器,在地址栏中输入:%windir%\SchedLgU.txt,按回车。
2、若文件存在且未被禁用,将显示类似 “System Ready Event” 的时间戳行。
3、查找最近一条 “System Ready Event” 记录,其右侧标注的时间即为近似开机完成时刻。
4、注意:该文件可能为空或已被系统停用,仅当启用任务计划程序日志功能时持续更新。
五、使用事件查看器筛选组合事件ID识别完整开关机序列
单一事件ID可能无法覆盖全部启动状态,组合筛选可还原更完整的系统生命周期。例如:6005(日志服务启动)+ 100(电源状态变更)+ 107(用户会话初始化)共同构成一次典型正常开机链路,有助于排除伪开机或服务延迟启动干扰。
1、在事件查看器“系统”日志界面右侧操作面板中,点击 筛选当前日志…。
2、在“事件ID”文本框中输入:6005,100,107,12(英文逗号分隔)。
3、在“开始时间”和“结束时间”字段中指定目标时间段,例如过去7天。
4、点击“确定”,界面将仅显示该时段内符合全部ID条件的日志条目。
5、观察各事件的时间顺序与间隔:若6005最早出现,随后100、12、107依次紧随,且间隔在数秒内,则可判定为一次有效开机。
评论(0)