首页 > 文章 > 常见问题

如何查看电脑开机记录_事件查看器使用教程

时间：2026-05-12 16:31:15 147浏览收藏

想精准掌握电脑每次开机的具体时间、确认某时段是否曾启动，或排查异常开机行为？Windows系统日志中隐藏着可靠线索——事件ID 6005（事件日志服务启动）是公认的开机“黄金标记”，配合ID 12和107还能交叉验证提升准确性。本文手把手教你五种高效方法：从快捷运行命令直达筛选、通过计算机管理图形化操作，到PowerShell一键导出纯文本日志或精准提取倒序时间戳，无论你是偏好界面操作还是命令行高手，都能快速定位每一次开机记录，准确到秒，且全程无需第三方工具。

如何查看电脑开机记录_事件查看器日志查询【方案】

如果您希望确认电脑在某段时间内是否开机、具体开机时间点或排查异常启动行为，则可通过系统日志中的特定事件ID快速定位开机记录。以下是多种可独立使用的查看方法：

一、通过运行命令直达事件查看器并筛选ID 6005

该方式绕过图形界面层级，直接调用事件查看器主程序，响应迅速且路径稳定，适用于所有具备本地管理员权限的账户。事件ID 6005标识“事件日志服务已启动”，是Windows系统公认的可靠开机标志，每条记录均精确到秒。

1、按下Win + R组合键，调出“运行”对话框。

2、在输入框中键入eventvwr.msc，然后按回车键。

3、等待窗口加载完成后，在左侧导航树中依次展开Windows 日志 → 系统。

4、在右侧操作面板中，点击筛选当前日志。

5、在弹出窗口的“事件ID”字段中，输入6005，其他条件保持默认。

6、点击“确定”，列表即刻仅显示所有开机事件，每条均含精确到秒的日期与时间戳。

二、通过计算机管理入口打开事件查看器并定位ID 6005

此路径依托系统预置的完整管理控制台，确保权限上下文一致，特别适合习惯桌面图标操作或需同步执行其他系统管理任务的用户。所有日志数据源与图形界面方法完全等效，无需额外配置即可访问全部系统日志。

1、在桌面或文件资源管理器中，右键单击此电脑图标。

2、从弹出菜单中选择管理，等待“计算机管理”窗口完全加载。

3、在左侧控制台树中，依次展开系统工具 → 事件查看器 → Windows 日志 → 系统。

4、在右侧日志列表区域空白处右键单击，选择筛选当前日志。

5、于“事件ID”输入框内填入6005，确认筛选。

6、筛选结果中每条记录的“详细信息”字段均明确标注事件日志服务已启动，即代表一次有效开机。

三、使用PowerShell命令行导出开机事件文本记录

该方法无需图形界面交互，输出为纯文本格式，便于离线归档、邮件转发或快速比对多个时间点，适用于批量分析场景。wevtutil 是 Windows 原生命令行工具，执行时需管理员权限以确保完整日志访问。

1、右键点击开始按钮，选择Windows PowerShell(管理员)。

2、输入以下命令并回车：wevtutil qe System /q:"*[System[(EventID=6005)]]" /rd:true /f:text。

3、终端将逐行显示所有匹配的开机事件，包含日期、时间、任务类别及消息摘要。

4、如需保存结果，可在命令末尾添加重定向符号，例如：wevtutil qe System /q:"*[System[(EventID=6005)]]" /rd:true /f:text > C:\boot_events.txt。

四、利用PowerShell提取并格式化显示开机时间戳

PowerShell提供更灵活的时间字段提取能力，可跳过冗余信息，仅输出简洁的时间戳列表，并支持倒序排列，便于快速识别最近一次开机时间。该命令直接读取结构化事件对象，避免解析文本带来的误差。

1、以管理员身份启动Windows PowerShell或终端。

2、粘贴并执行以下命令：Get-WinEvent -FilterHashtable @{LogName='System'; ID=6005} | Select-Object TimeCreated | Sort-Object TimeCreated -Descending | Format-Table -AutoSize。

3、屏幕将滚动显示完整列表，TimeCreated列为本地时间，首条即为最近一次开机时刻。