Guida alle tecnologie

Come controllare la cronologia di avvio e spegnimento in Windows

7 min read Windows Aggiornato 05 Oct 2025
Controllare avvi e spegnimenti in Windows
Controllare avvi e spegnimenti in Windows

Se vuoi sapere quando un PC si è avviato o spento, usa il Visualizzatore eventi per trovare gli Event ID principali (6005, 6006, 6008, 1074, 41). Se preferisci riga di comando, wevtutil o PowerShell restituiscono velocemente le voci. Per letture rapide o macchine remote, TurnedOnTimesView è una buona alternativa. Di seguito trovi istruzioni passo passo, alternative, checklist per ruoli e un runbook d’incidente.

Tastiera Windows con tasto Windows evidenziato

Per amministratori di sistema e utenti domestici: sapere quando un computer è stato avviato o spento è utile per indagare errori, verificare accessi fuori orario e risolvere problemi hardware o software. Windows offre tre metodi principali: Visualizzatore eventi, riga di comando e strumenti di terze parti. Questa guida spiega come usarli e come interpretare i risultati.

Perché verificare avvii e spegnimenti

  • Diagnostics: capire se spegnimenti improvvisi indicano problemi hardware o driver.
  • Sicurezza: verificare accessi non autorizzati a orari strani.
  • Audit: raccogliere prove per policy aziendali o per controllo genitoriale.

Definizione rapida: Event ID è un identificatore numerico associato a una voce del registro eventi di Windows che descrive un tipo specifico di evento.

Panoramica degli Event ID utili

  • Event ID 41 — riavvio forzato o perdita di alimentazione senza spegnimento corretto.
  • Event ID 1074 — spegnimento o riavvio avviato da un processo o dall’utente (es. Menu Start o applicazione).
  • Event ID 6005 — avvio del sistema (il servizio Registro eventi è stato avviato).
  • Event ID 6006 — spegnimento corretto del sistema.
  • Event ID 6008 — spegnimento imprevisto registrato (es. crash o interruzione di corrente).

Questi ID sono i più rilevanti per capire cronologia e tipo di spegnimento/avvio.

Metodo 1 — Visualizzatore eventi

Il Visualizzatore eventi è l’interfaccia grafica amministrativa per consultare i registri di Windows.

  1. Premi il tasto Windows (Win) + R per aprire Esegui.
  2. Digita eventvwr e premi Invio. Si aprirà il Visualizzatore eventi.
  3. Nel pannello sinistro espandi la voce Windows Logs e seleziona System.

Pannello sinistro del Visualizzatore eventi con Windows Logs selezionato

  1. Nel pannello Azioni scegli Filter Current Log.

Finestra Filter Current Log del Visualizzatore eventi

  1. Sotto Includes/Excludes Event IDs inserisci gli ID che vuoi controllare, ad esempio 6005,6006 per avvii e spegnimenti corretti.

Campo Include/Exclude Event IDs con 6005,6006 inseriti

  1. Clicca OK per applicare il filtro. Vedrai le voci corrispondenti con data, ora e dettagli.

Elenco eventi filtrati per 6005 e 6006 nel Visualizzatore eventi

Consigli pratici:

  • Ordina per Data/Ora per scorrere la cronologia inversa.
  • Se un evento ha ID 6008 o 41, indaga immediatamente sull’hardware o sull’alimentazione.
  • Usa il messaggio dell’evento per identificare l’applicazione o il driver coinvolto (Event ID 1074 include spesso il nome del processo che ha richiesto lo spegnimento).

Metodo 2 — Riga di comando (wevtutil e PowerShell)

Se preferisci la riga di comando, hai due scelte principali: wevtutil (nativo) o PowerShell. Entrambi sono più rapidi per estrarre informazioni in blocco.

Apri il Prompt dei comandi con privilegi elevati:

  1. Premi Win + R.
  2. Digita cmd, poi premi Ctrl + Shift + Enter per aprire come amministratore.

Per vedere l’ultimo evento di spegnimento (ID 6006) usa wevtutil:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

Per visualizzare solo la data e l’ora dell’evento:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Prompt dei comandi con comando wevtutil per mostrare eventi di spegnimento

Output filtrato del comando wevtutil che mostra la data dell'evento

PowerShell alternativa (più leggibile e facile da filtrare):

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005,6006,6008,1074,41} |
  Select-Object TimeCreated, Id, @{Name='Message';Expression={$_.Message -replace '\r|\n',' '}} -First 50

Spiegazione: Get-WinEvent filtra rapidamente per ID e restituisce timestamp, ID e messaggio in una sola riga per ogni voce.

Note su accesso remoto dalla riga di comando:

  • wevtutil supporta alcune opzioni remote ma la configurazione richiede permessi e firewall adeguati.
  • In ambienti aziendali preferisci PowerShell Remoting o strumenti di gestione centralizzata (es. SCOM, WMI) per raccogliere log da più macchine.

Metodo 3 — Strumento di terze parti: TurnedOnTimesView

TurnedOnTimesView è un’utilità leggera che sintetizza gli eventi di avvio/spegnimento in una tabella facilmente leggibile. È comoda per controlli rapidi, analisi su più macchine e esportazioni CSV.

  1. Scarica TurnedOnTimesView dal sito ufficiale dello sviluppatore.
  2. Estrai il contenuto con Esplora file.
  3. Esegui l’eseguibile (non richiede installazione).
  4. Vai alla scheda Options e scegli Advanced Options.

Scheda Options di TurnedOnTimesView con Advanced Options

  1. Seleziona la sorgente dati: locale o Remote Computer. Per remoto inserisci il nome del computer e premi OK.

Finestra di selezione della sorgente dati in TurnedOnTimesView

Vantaggi dell’approccio:

  • Interfaccia tabellare con tipo di spegnimento (normale, forzato) e durata uptime.
  • Esportazione in CSV per reportistica.
  • Accesso più semplice ai dati rilevanti senza scorrere migliaia di eventi.

Limiti:

  • Come per ogni strumento di terze parti, verificare l’attendibilità e la versione prima dell’uso in produzione.

Quando questi approcci potrebbero fallire

  • Registri corrotti: se il registro eventi è danneggiato potresti non trovare voci accurate.
  • Rotazione dei log: se i log sono stati archiviati o rimossi non vedrai eventi molto vecchi.
  • Permessi insufficienti: senza privilegi amministrativi non puoi leggere alcuni registri o eseguire comandi.
  • Protezioni endpoint: software di sicurezza molto restrittivo può bloccare strumenti di terze parti.

Soluzioni:

  • Esegui controlli con account amministratore.
  • Verifica politica di retention dei log e backup.
  • Usa gestione centralizzata per conservare log a lungo termine.

Checklist per ruolo

Sysadmin

  • Disporre di accesso amministrativo alle macchine.
  • Verificare policy di retention dei log.
  • Automatizzare raccolta log con script o SIEM.
  • Eseguire analisi su 3–6 mesi per pattern ricorrenti.

Utente domestico

  • Usare Visualizzatore eventi o TurnedOnTimesView per verificare orari sospetti.
  • Controllare impostazioni di risparmio energetico e aggiornamenti automatici.
  • Se sospetti accessi non autorizzati, cambia password e attiva accesso protetto.

Manager IT

  • Richiedere report periodici sull’uptime dei sistemi critici.
  • Stabilire soglie di allerta per eventi 41/6008 ripetuti.

Runbook d’incidente per spegnimenti imprevisti

  1. Raccogli prove: esegui Get-WinEvent per ID 41 e 6008 e salva l’output.
  2. Controlla messaggi correlati (driver, errori kernel, Event ID forniti dal crash).
  3. Controlla UPS e log di alimentazione se si tratta di un server fisico.
  4. Se ripetuto, pianifica test hardware: memoria (memtest), disco, alimentatore.
  5. Applica eventuali patch driver o rollback se un aggiornamento ha preceduto i crash.
  6. Se necessario, contatta il fornitore hardware con i log raccolti.
  7. Documenta azioni e orari. Riporta risultati al team e aggiorna gli SLO/alert.

Casi di test e criteri di accettazione

  • Test 1: Eseguire wevtutil per ID 6006 su una macchina spenta correttamente. Criterio: comando restituisce almeno una voce con data/ora coerente.
  • Test 2: Simulare spegnimento forzato (premere tasto di alimentazione) e verificare presenza di Event ID 6008 o 41. Criterio: evento registrato entro i registri di sistema.
  • Test 3: Usare TurnedOnTimesView su macchina remota con credenziali valide. Criterio: elenco eventi visualizzato e esportabile.

Privacy e note GDPR

  • I registri eventi contengono timestamp e, talvolta, nomi di account o processi. Trattali come dati personali se possono identificare una persona.
  • Conserva log solo per il periodo necessario e applica controlli di accesso.
  • Se condividi log per supporto, rimuovi o anonimizza informazioni sensibili quando possibile.

Glossario veloce

  • Visualizzatore eventi: interfaccia grafica per consultare i registri di Windows.
  • Event ID: codice numerico che identifica il tipo di evento.
  • wevtutil: utility da riga di comando per interrogare i registri eventi.
  • TurnedOnTimesView: strumento di terze parti per riepilogare uptime e spegnimenti.

Buone pratiche

  • Conserva una politica di retention per i log di sistema.
  • Automatizza raccolta e monitoraggio con strumenti centralizzati.
  • Crea avvisi per eventi ripetuti 41/6008 per intervenire rapidamente.

Riepilogo

  • Usa il Visualizzatore eventi per ispezioni dettagliate.
  • wevtutil e PowerShell sono rapidi per estrazioni e automazione.
  • TurnedOnTimesView è comodo per letture veloci e macchine remote.
  • Documenta, conserva e proteggi i log per audit e privacy.

Importante: se noti ripetuti spegnimenti imprevisti, esegui test hardware e analisi dei driver prima di riprendere la normale operatività.

Se vuoi, posso fornirti script PowerShell pronti all’uso per raccogliere automaticamente gli Event ID di avvio/spegnimento da più macchine e generare un report CSV.

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Proteggere account Gmail: cosa fare se sei hackerato
Sicurezza

Proteggere account Gmail: cosa fare se sei hackerato

Siti indispensabili per crescere come freelance
Freelance

Siti indispensabili per crescere come freelance

wget: installare, risolvere errori e usare su Windows e Mac
Strumenti CLI

wget: installare, risolvere errori e usare su Windows e Mac

Proteggi i dispositivi Apple in Canada: guida pratica
Sicurezza

Proteggi i dispositivi Apple in Canada: guida pratica

Trovare contatti da un canale YouTube
Social Media

Trovare contatti da un canale YouTube

Recupera la cartella Documenti in Windows
Windows

Recupera la cartella Documenti in Windows