Win11查看开机记录方法详解

本篇文章向大家介绍《Win11如何查看开机记录？》，主要包括，具有一定的参考价值，需要的朋友可以参考一下。

通过事件查看器筛选ID 6005、6006、6008和1074可追踪Windows 11开机与关机记录，其中6005为开机，6006为正常关机，6008为意外断电，1074为重启或用户关机；使用PowerShell命令可快速查询并导出日志；通过winlogon事件来源可查看用户登录时间，判断实际使用时段。

如果您需要追踪Windows 11电脑的开机与关机历史，系统内置的日志功能可以提供详细的记录。通过特定的事件ID或来源筛选，您可以精确地找到这些信息。

本文运行环境：Dell XPS 13，Windows 11 家庭版

一、使用事件查看器筛选关键事件ID

事件查看器会为不同的系统状态变化记录特定的事件ID，通过筛选这些ID可以快速定位开机和关机行为。

1、按下 Win + R 组合键打开“运行”对话框。

2、输入 eventvwr.msc 后按回车键，启动事件查看器。

3、在左侧导航栏中，依次展开 Windows 日志 并点击 系统。

4、在右侧操作面板中，点击 筛选当前日志。

5、在弹出的窗口中，于“事件ID”文本框内输入以下ID，用英文逗号分隔：6005,6006,6008,1074。

6、点击“确定”，列表将只显示相关事件：其中 6005 代表系统启动（开机），6006 代表正常关机，6008 代表意外断电，1074 代表由用户或程序发起的重启或关机。

7、双击任意一条日志可查看详细信息，包括具体的发生时间、触发进程及用户账户等。

二、通过PowerShell快速查询并导出日志

PowerShell允许执行命令来批量检索系统事件，适合需要分析长期记录或创建报告的场景。

1、右键点击“开始”菜单，选择 终端(管理员) 或 Windows PowerShell(管理员)。

2、在打开的命令行界面中，粘贴并执行以下命令：

Get-WinEvent -LogName System | Where-Object {$_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074} | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

3、执行后，系统将按时间倒序列出所有匹配的开关机事件，便于快速浏览最新的记录。

4、如需将结果保存为文件，可在上述命令末尾添加输出重定向，例如执行：

Out-File "C:\Users\Public\Documents\ShutdownLog.txt"

三、利用事件来源筛选用户登录事件

winlogon进程负责管理用户的登录和注销会话，其产生的日志可以反映用户级别的活动开始时间，间接判断设备的实际使用时段。

1、在事件查看器的“系统”日志页面，再次点击右侧的 筛选当前日志 按钮。

2、在筛选条件窗口中，清除之前输入的事件ID。

3、在“事件来源”下拉菜单中，选择 winlogon。

4、确保“记录时间”设置为“任何时间”，然后点击“确定”。

5、此时日志列表将只显示与winlogon相关的条目，查找包含“登录”字样的事件，其发生时间即为用户开始使用电脑的时间点。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Win11查看开机记录方法详解》文章吧，也可关注golang学习网公众号了解相关技术文章。