Start- und Herunterfahrverlauf in Windows anzeigen

TL;DR

In diesem Artikel lernen Sie drei zuverlässige Methoden, um Start- und Herunterfahrzeiten unter Windows zu prüfen: Ereignisanzeige, Eingabeaufforderung (wevtutil) und das Drittanbieter‑Tool TurnedOnTimesView. Am Ende finden Sie Checklisten, ein Kurzzettel mit Befehlen, ein Entscheidungsdiagramm und Hinweise für Administratoren und Heimanwender.

Manchmal müssen Sie nachvollziehen, wann ein Rechner gestartet oder heruntergefahren wurde — etwa als Systemadministrator oder wenn mehrere Personen denselben Computer verwenden. Solche Verlaufsdaten helfen beim Troubleshooting, bei forensischen Fragen oder um sicherzustellen, dass das Gerät nicht außerhalb erlaubter Zeiten genutzt wurde.

Nachfolgend finden Sie drei effektive Methoden, eine kurze Methodik zur Auswahl, eine schnelle Befehlsreferenz sowie Tipps für typische Fehlerfälle.

Wichtige Ereignis‑IDs (Kurzüberblick)

Die Windows-Ereignisanzeige protokolliert zahlreiche Systemereignisse. Für Start-/Shutdown‑Informationen sind diese IDs besonders relevant:

• Event ID 41 — Neustart ohne sauberes Herunterfahren (z. B. Stromausfall oder Hard‑Reset).
• Event ID 1074 — Geplante Herunterfahr- oder Neustartanforderung (z. B. durch Startmenü oder Anwendung).
• Event ID 6005 — „Event log service started“ → typischerweise Systemstart.
• Event ID 6006 — „Event log service stopped“ → korrektes Herunterfahren.
• Event ID 6008 — Unerwartetes Herunterfahren (z. B. Absturz, Hardware‑Fehler).

Kurzdefinition: Eine Ereignis‑ID ist eine nummerische Kennung in der Windows‑Ereignisanzeige, die ein bestimmtes Log‑Ereignis beschreibt.

Methode 1 — Ereignisanzeige (GUI)

Die Ereignisanzeige ist ein Administrationswerkzeug, das System-, Sicherheits- und Anwendungsprotokolle anzeigt. Sie ist gut geeignet, wenn Sie präzise Einträge mit Kontext lesen möchten.

Schritte:

1. Drücken Sie die Windows‑Taste + R, um “Ausführen” zu öffnen.
2. Geben Sie eventvwr ein und drücken Sie Enter, um die Ereignisanzeige zu starten.
3. Erweitern Sie im linken Bereich “Windows-Protokolle” und wählen Sie System aus.

4. Klicken Sie im rechten oder linken Bereich auf Protokoll aktuelles Protokoll filtern (oder im Menü “Aktion” → “Aktuelles Protokoll filtern”).

5. Tragen Sie im Feld “Einschließen/Ausschließen von Ereignis-IDs” die IDs ein, die Sie untersuchen möchten (z. B. 6005, 6006 für Start/Herunterfahren), und klicken Sie auf OK.

6. Die Ereignisanzeige zeigt nun nur noch die gefilterten Einträge. Klicken Sie einen Eintrag an, um Details (Datum, Uhrzeit, Quelle, eventuelle Beschreibung) zu sehen.

Wann die GUI hilft: Wenn Sie Kontext (Beschreibung, betroffene Dienste, verknüpfte Ereignisse) brauchen oder Einträge aus mehreren Zeiträumen visuell vergleichen möchten.

Methode 2 — Eingabeaufforderung (wevtutil)

Für schnelle Abfragen oder Skripting ist die Befehlszeile effizient. wevtutil liest Ereignisprotokolle und kann gefilterte Ergebnisse als Text ausgeben.

Schritte:

1. Drücken Sie Windows‑Taste + R.
2. Geben Sie cmd ein und starten Sie die Eingabeaufforderung mit Administratorrechten (Strg + Shift + Enter oder Rechtsklick → “Als Administrator ausführen”).
3. Um den letzten korrekten Herunterfahr‑Eintrag (Event ID 6006) anzuzeigen, verwenden Sie:

wevtutil qe system "/q:*[System[(EventID=6006)]]" /rd:true /f:text /c:1

4. Wenn Sie nur Datum und Uhrzeit des Eintrags sehen wollen, filtern Sie die Ausgabe mit findstr:

wevtutil qe system "/q:*[System[(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Varianten:

• Letzten Start anzeigen (Event ID 6005): ersetzen Sie 6006 durch 6005.
• Unerwartete Abschaltungen (Event ID 6008): ersetzen Sie entsprechend.
• Anzahl der letzten X Einträge: passen Sie den Parameter /c:X an.

Wann die CLI hilft: Automatisierung, Remote‑Skripte, schnelle Einzelabfragen ohne grafische Oberfläche.

Wichtig: wevtutil gibt rohe Einträge aus — zum Parsen in Skripten empfiehlt sich zusätzliche Verarbeitung (PowerShell, grep/findstr, Logparser).

Methode 3 — Drittanbieter: TurnedOnTimesView

TurnedOnTimesView ist ein kleines, portables Tool, das Start-/Shutdown‑Daten aus der Ereignisanzeige zusammenfasst und filterbar auflistet. Es kann lokale sowie entfernte Rechner auswerten.

Schritte:

1. Laden Sie TurnedOnTimesView von der Projektseite herunter (Portable ZIP).
2. Entpacken Sie die Datei per Rechtsklick → “Alle extrahieren” oder mit Ihrem Archiv‑Tool.
3. Starten Sie die EXE (keine Installation nötig).
4. Öffnen Sie den Reiter Options → Advanced Options, um die Datenquelle zu wählen.

5. Wählen Sie “Remote Computer”, um einen Rechner im Netzwerk zu analysieren, und geben Sie den Computernamen ein.

Vorteile: Übersichtliche Liste, schnell filterbar, Export (CSV), keine lange Untersuchung einzelner Ereignisdetails.

Einschränkungen: Drittanbieter‑Software sollte aus vertrauenswürdiger Quelle stammen. Für forensische Untersuchungen ist die originale Ereignisanzeige oft vorzuziehen.

Mini‑Methodik: Welche Methode wann verwenden

• Schnelle Einzelabfrage oder Skript: Methode 2 (wevtutil / PowerShell).
• Kontext und Fehlermeldungen lesen: Methode 1 (Ereignisanzeige GUI).
• Übersicht, CSV‑Export, Remote‑Scan ohne GUI‑Filter: Methode 3 (TurnedOnTimesView).

Checklisten nach Rolle

Systemadministrator

• Prüfen: 6005 / 6006 / 6008 / 41 / 1074.
• Bei Unregelmäßigkeiten: Ereignisbeschreibung prüfen, verknüpfte Ereignisse filtern, Zeitstempel mit anderen Logs (z. B. Sicherheitsprotokolle) abgleichen.
• Skript: Regelmäßiger Export via PowerShell für zentrale Archivierung.

Heimanwender

• Schnell prüfen mit TurnedOnTimesView oder Ereignisanzeige (Filter 6005/6006).
• Bei plötzlichen Neustarts: Hardware (Netzteil) und Windows‑Update prüfen.

Helpdesk / Support

• Sammeln Sie: Datum/Uhrzeit, Event ID, Ereignisbeschreibung, Benutzername (wenn vorhanden).
• Erstmaßnahmen: Treiberaktualisierungen, Systemprotokolle auf Fehler prüfen, ggf. memtest/SMART‑Checks empfehlen.

Forensik / Auditing

• Beweiserhaltung: Exportieren Sie Original‑Ereignisprotokolle (evtx) mit Abfragezeitstempel.
• Dokumentation: Änderungen, Benutzeraktionen und Remote‑Zugriffe protokollieren.

Schnellreferenz / Cheat Sheet

• Ereignisanzeige filtern: eventvwr → Windows‑Protokolle → System → “Protokoll filtern” → IDs eintragen.
• wevtutil (letzter Shutdown):

wevtutil qe system "/q:*[System[(EventID=6006)]]" /rd:true /f:text /c:1

• wevtutil (letzter Start, nur Datum):

wevtutil qe system "/q:*[System[(EventID=6005)]]" /rd:true /f:text /c:1 | findstr /i "date"

• TurnedOnTimesView: EXE starten → Options → Advanced Options → Source wählen → Export CSV.

Fehlerfälle und Gegenmaßnahmen

• Keine Einträge vorhanden: Event‑Log könnte gelöscht oder die Aufbewahrungsrichtlinie zu knapp sein. Maßnahme: Protokollgröße erhöhen, Archivierung aktivieren.
• Zeitstempel unplausibel: Prüfen Sie Zeitsynchronisation (NTP / Windows Time Service). Ein falsch eingestelltes Systemdatum verfälscht Einträge.
• Inkomplette Daten bei Remote‑Auswertung: Firewall/Remote‑Berechtigungen prüfen, erforderliche Rechte (Administrator) sicherstellen.
• Tools zeigen nur zusammengefasste Daten: Für detaillierte Forensik immer die Roh‑Ereignisdateien (evtx) verwenden.

Entscheidungsdiagramm (Mermaid)

flowchart TD
  A[Will ich Skripten/Automatisieren?] -->|Ja| B[CLI: wevtutil / PowerShell]
  A -->|Nein| C[Brauche Übersicht & Export?]
  C -->|Ja| D[TurnedOnTimesView]
  C -->|Nein| E[Ereignisanzeige GUI]
  B --> F{Brauche Kontext}
  F -->|Ja| E
  F -->|Nein| B

Hinweis: Das Diagramm hilft bei der Wahl der Methode je nach Bedarf an Automatisierung, Kontext oder Export.

Faktenbox — schnelle Fakten

• Kern‑Event‑IDs: 6005 (Start), 6006 (sauberes Herunterfahren), 6008 (unerwartetes Herunterfahren), 41 (unerwarteter Neustart), 1074 (kontrolliertes Herunterfahren/Neustart).
• Werkzeuge: Ereignisanzeige (GUI), wevtutil/PowerShell (CLI), TurnedOnTimesView (portable GUI).
• Exportmöglichkeiten: CSV (TurnedOnTimesView), EVT/EVTX (Ereignisanzeige / evtx‑Export), Text (wevtutil).

Einzeiler‑Glossar

• Ereignisanzeige: Windows‑Tool zum Lesen von System- und Anwendungslogs.
• wevtutil: Kommandozeilenwerkzeug zum Abfragen von Windows‑Ereignisprotokollen.
• evtx: Dateiformat der Windows‑Ereignisprotokolle.

Sicherheit, Datenschutz und Hinweise zur Verwendung

• Bei der Analyse von Rechnern im Unternehmensnetz halten Sie sich an interne Richtlinien und Datenschutzvorgaben. Logs können personenbezogene Daten oder Hinweise auf Benutzeraktivität enthalten.
• Drittanbieter‑Tools nur aus vertrauenswürdigen Quellen herunterladen und prüfen.

Zusammenfassung

Sie können Start- und Herunterfahrverläufe in Windows schnell und zuverlässig über die Ereignisanzeige, die Eingabeaufforderung (wevtutil) oder mit TurnedOnTimesView prüfen. Wählen Sie die Methode, die zu Ihrem Ziel passt: GUI für Kontext, CLI für Automatisierung und Drittanbieter‑Tools für Übersicht und Export. Bei Unsicherheiten prüfen Sie Systemzeit, Protokollgrößen und Berechtigungen.

Wichtig: Bewahren Sie für forensische Zwecke Originalprotokolle auf und dokumentieren Sie Ihre Schritte.