Cómo ver el historial de arranques y apagados en Windows

A veces necesitas saber cuándo se arrancó o apagó un equipo: por auditoría, resolución de problemas o control de uso familiar. Windows registra esos eventos; con las herramientas adecuadas puedes consultarlos y entender si un reinicio fue forzado, inesperado o programado.

Resumen rápido de los eventos importantes

• Event ID 41 — Reinicio inesperado (por ejemplo, pérdida de energía o reinicio forzado sin apagado correcto).
• Event ID 1074 — Reinicio o apagado iniciado por una aplicación o por el usuario desde el menú Inicio.
• Event ID 6005 — Inicio del sistema (el servicio de eventos se inició). Se interpreta como “arranque”.
• Event ID 6006 — Apagado correcto (el servicio de eventos se detuvo).
• Event ID 6008 — Apagado inesperado (indica que el equipo se apagó sin un cierre ordenado).

Estos identificadores (Event ID) son las señales que leeremos en las siguientes secciones.

1. Usar el Visor de eventos

El Visor de eventos es la herramienta administrativa estándar para ver registros del sistema, seguridad y aplicaciones. Muestra quién hizo qué y cuándo, con mucho detalle.

Importante: necesitas privilegios de administrador para ver todos los registros.

Pasos rápidos:

1. Pulsa la tecla Windows + R para abrir Ejecutar.
2. Escribe eventvwr y pulsa Enter para abrir el Visor de eventos.
3. En el panel izquierdo, expande “Windows Logs” y selecciona “System”.

4. En el panel derecho o en el menú de acciones, elige “Filter Current Log” (Filtrar registro actual).

5. En el campo “Includes/Excludes Event IDs” escribe los IDs que te interesan, por ejemplo: 6005,6006,6008,1074,41.

6. Haz clic en Aceptar. Ahora verás sólo los eventos que indican arranques y apagados.

Consejos para interpretar la lista:

• Ordena por fecha/hora para ver la cronología.
• Revisa la columna “Source” para detalles (p. ej., “EventLog” o el nombre de la aplicación responsable de un reinicio).
• Selecciona un evento y lee la descripción inferior; ahí suele aparecer el usuario, motivo o código de error.

Cuándo usar este método: cuando necesites contexto completo (errores relacionados, procesos que se cerraron, IDs de servicio). Es ideal para auditoría y diagnóstico profundo.

2. Usar el Símbolo del sistema (wevtutil)

Si prefieres línea de comandos o necesitas automatizar consultas, wevtutil permite extraer eventos concretos rápidamente.

Nota: abre el Símbolo del sistema como administrador.

Pasos:

1. Pulsa la tecla Windows + R, escribe cmd y presiona Ctrl + Shift + Enter para abrir como administrador.
2. Para ver el último evento de apagado (Event ID 6006) ejecuta:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

3. Para obtener sólo la fecha y la hora del evento, canaliza la salida con findstr:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Variantes útiles:

• Cambia EventID=6006 por 6005 para el último arranque.
• Sustituye /c:1 por /c:50 para ver más eventos.
• Para buscar apagados inesperados usa EventID=6008.

Cuándo usar este método: cuando necesites resultados rápidos, exportarlos a scripts o integrarlos en procesos de monitorización.

Precaución: la salida en texto puede ser larga; utiliza filtros o redirige a un archivo.

3. Usar una herramienta de terceros: TurnedOnTimesView

TurnedOnTimesView es una utilidad ligera que resume los arranques y apagados en una tabla legible. Puede leer registros locales y remotos y clasifica eventos por tipo (normal, forzado).

Pasos:

1. Descarga TurnedOnTimesView desde su página oficial.
2. Extrae el archivo descargado y ejecuta la aplicación.
3. En la pestaña “Options” selecciona “Advanced Options” y elige la fuente de datos (local o Remote Computer).

Ventajas: interfaz inmediata, filtros por tipo y exportación a CSV. Ideal para administradores que revisan varios equipos.

Limitaciones: como herramienta de terceros, verifica integridad y procedencia antes de ejecutar en sistemas sensibles.

Interpretación: ¿qué significan los diferentes eventos?

• Si ves 6005 seguido de actividad, el equipo arrancó correctamente.
• Un 6008 indica que el apagado no fue ordenado; busca errores de hardware o cortes de energía.
• Un 1074 suele incluir el proceso o la aplicación que solicitó el reinicio; revisa el motivo para identificar actualizaciones u órdenes remotas.
• Un 41 significa un fallo brusco; combina con 6008 para diagnosticar energía/firmware.

Mini-metodología para investigar un arranque/apagado anómalo

1. Reproduce la cronología: usa Visor de eventos para listar eventos relevantes alrededor de la hora.
2. Identifica el tipo: ¿6006 (apagado ordenado) o 6008/41 (no ordenado)?
3. Localiza la causa: busca eventos de errores críticos o de drivers antes del apagado.
4. Correlaciona con cambios: actualizaciones, instalaciones de software o políticas de energía.
5. Documenta y aplica mitigación: parche, sustituir componente o ajustar política.

Caja con datos clave

• Eventos principales: 41, 1074, 6005, 6006, 6008.
• Herramienta GUI: Visor de eventos (integrada).
• Herramienta CLI: wevtutil (integrada).
• Herramienta ligera: TurnedOnTimesView (terceros).

Lista de verificación según rol

Administrador de sistemas:

• Revisar logs 6005/6006/6008 y errores críticos antes del evento.
• Ejecutar wevtutil en lote para múltiples equipos.
• Mantener registros exportados semanalmente.

Usuario doméstico:

• Usar TurnedOnTimesView para ver actividad reciente.
• Revisar si las actualizaciones programadas causaron reinicios.

Auditor o responsable de cumplimiento:

• Exportar eventos 6005/6006 con usuario y motivo (1074) como evidencia.
• Mantener retención de logs según política.

Cuándo estos métodos pueden fallar

• Logs rotados o eliminados: si los registros se han purgado, no aparecerán eventos antiguos.
• Permisos insuficientes: sin privilegios de administrador verás menos información.
• Registros dañados: corrupción del Event Log puede ocultar o truncar entradas.

Mitigaciones: revisa políticas de retención, ejecuta comprobación de integridad del sistema y recupera desde copias si procede.

Alternativas y buenas prácticas

• Habilitar auditoría avanzada y exportar a un servidor central (SIEM) para retención y correlación.
• Configurar copias periódicas de los registros si necesitas historial a largo plazo.
• Para máquinas críticas, usar UPS y monitorizar salud de hardware para prevenir apagados inesperados.

Diagrama de decisión (flujo rápido)

flowchart TD
  A[¿Necesitas contexto completo?] -->|Sí| B[Usar Visor de eventos]
  A -->|No, quiero rápido| C[Usar wevtutil]
  C --> D{¿Prefieres interfaz GUI?}
  D -->|Sí| E[TurnedOnTimesView]
  D -->|No| F[Script con wevtutil]

Pequeño cheat sheet de comandos

• Último apagado ordenado: wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1
• Último arranque: sustituye 6006 por 6005.
• Apagados inesperados: EventID=6008.
• Reinicios forzados: EventID=41.

Glosario (una línea cada término)

• Visor de eventos: herramienta de Windows para ver registros de sistema y aplicaciones.
• wevtutil: utilidad de línea de comandos para consultar y administrar los registros de eventos.
• TurnedOnTimesView: aplicación de terceros que resume arranques y apagados.
• Event ID: identificador numérico de eventos que clasifica sucesos en los registros.

Notas finales

• Importante: no inventes supuestos a partir de una sola entrada de log; correlaciona múltiples eventos.
• Si gestionas equipos remotos, valida la hora del sistema (sincronización NTP) para asegurar cronologías exactas.

Resumen:

Saber cuándo un equipo arrancó o se apagó es sencillo con las herramientas de Windows: Visor de eventos para investigación detallada, wevtutil para automatización y TurnedOnTimesView para consultas rápidas y visuales. Usa la lista de comprobación por rol y la mini-metodología para investigar casos anómalos.