如果您需要追溯Windows系统每次开机的完整启动过程,系统会将关键启动阶段以结构化事件形式记录在“系统”日志中,其中事件ID 6005是标识事件日志服务成功启动的唯一信号,代表一次有效开机行为。以下是多种可独立使用的查看方法:
一、使用运行命令直达事件查看器并筛选ID 6005
该方式绕过图形界面层级,直接调用事件查看器主程序,响应迅速且路径稳定,适用于所有具备本地管理员权限的账户。
1、按下Win + R组合键,调出“运行”对话框。
2、在输入框中键入eventvwr.msc,然后按回车键。
3、等待窗口加载完成后,在左侧导航树中依次展开Windows 日志 → 系统。
4、在右侧操作面板中,点击筛选当前日志。
5、在弹出窗口的“事件ID”字段中,输入6005,其他条件保持默认。
6、点击“确定”,列表即刻仅显示所有开机事件,每条均含精确到秒的日期与时间戳。
二、通过计算机管理入口打开事件查看器并定位ID 6005
此路径依托系统预置的完整管理控制台,确保权限上下文一致,特别适合习惯桌面图标操作或需同步执行其他系统管理任务的用户。
1、在桌面或文件资源管理器中,右键单击此电脑图标。
2、从弹出菜单中选择管理,等待“计算机管理”窗口完全加载。
3、在左侧控制台树中,依次展开系统工具 → 事件查看器 → Windows 日志 → 系统。
4、在右侧日志列表区域,点击筛选当前日志。
5、于“事件ID”输入框内填入6005,确认筛选。
6、筛选结果中每条记录的“详细信息”字段均明确标注事件日志服务已启动,即代表一次有效开机。
三、使用PowerShell命令行导出开机事件文本记录
该方法无需图形界面交互,输出为可复制粘贴的纯文本格式,便于离线归档、邮件转发或快速比对多个时间点,适用于批量分析场景。
1、右键点击开始按钮,选择Windows PowerShell(管理员)。
2、输入以下命令并回车:wevtutil qe System /q:”*[System[(EventID=6005)]]” /rd:true /f:text。
3、命令执行后,终端将逐行显示所有匹配的开机事件,包含日期、时间、任务类别及消息摘要。
4、如需保存结果,可在命令末尾添加重定向符号,例如:wevtutil qe System /q:”*[System[(EventID=6005)]]” /rd:true /f:text > C:\startup_log.txt。
四、使用PowerShell一步筛选并格式化显示开机时间
PowerShell提供更灵活的时间字段提取能力,可跳过冗余信息,仅输出简洁的时间戳列表,便于快速浏览。
1、以管理员身份启动PowerShell窗口。
2、输入以下命令并按回车执行:Get-WinEvent -FilterHashtable @{LogName=’System’; Id=6005} | Select-Object TimeCreated | Format-Table -AutoSize。
3、屏幕将显示仅含TimeCreated列的表格,每行对应一次开机的精确时间戳。
4、若需按时间倒序排列(最新开机在最上方),在命令中加入排序参数:| Sort-Object TimeCreated -Descending。
评论(0)