Controllare chi ha spento un PC Windows

Introduzione

Per amministratori di rete e responsabili IT è importante monitorare statistiche come tempi e responsabilità degli spegnimenti. Molti usano soluzioni avanzate di terze parti per accedere a dati sensibili sui PC connessi; tuttavia, senza software complessi è comunque possibile ottenere informazioni utili sugli spegnimenti usando strumenti nativi o utility leggere.

In questo articolo trovi tre metodi pratici per risalire agli spegnimenti: i registri di Windows, Shutdown Logger e TurnedOnTimesView. Includo una comparazione, una checklist per l’uso in azienda, una mini-metodologia per scegliere lo strumento giusto e una piccola FAQ.

Usare i registri di Windows (Visualizzatore eventi)

Il Visualizzatore eventi è lo strumento integrato che contiene informazioni dettagliate sull’uso del PC. Oltre agli errori e alle segnalazioni di manutenzione, nei registri puoi trovare gli eventi relativi agli spegnimenti con l’orario esatto.

Segui questi passi per trovare gli spegnimenti:

1. Premi Tasto Windows + X, poi premi V per aprire il Visualizzatore eventi.
2. Dal pannello sinistro, clicca su Registri di Windows.
3. Clicca su Sistema.
4. Nel pannello a destra, clicca su Filtra registro corrente.
5. Nel campo Eventi (o Event Sources) inserisci il valore 6006 e salva la selezione.
   
6. Nel pannello centrale vedrai l’elenco degli ultimi spegnimenti con data e ora.

Nota importante: l’evento 6006 è comunemente associato allo spegnimento (EventLog service stopped). Per avere un quadro completo puoi cercare anche gli eventi con ID 6005 (avvio del servizio di registro eventi) e 6008 (spegnimento anomalo).

Determinare l’uptime (tempo attivo)

Per verificare l’Up time del sistema:

• Premi tasto destro sulla barra delle applicazioni e apri Task Manager (Gestione attività).
• Vai alla scheda Prestazioni -> CPU. Lì troverai il valore “Tempo di attività” (Up time) nell’angolo in basso.

Questo metodo è nativo, non richiede software aggiuntivo e fornisce dati attendibili per analisi e verifiche forensi.

Usare Shutdown Logger

Shutdown Logger è un servizio semplice che registra solamente gli spegnimenti in file di testo. È pensato per chi vuole solo una cronologia leggibile senza informazioni aggiuntive.

Caratteristiche principali:

• Installa un servizio che registra gli spegnimenti (non registra gli stati di sospensione).
• Genera log testuali accessibili in una cartella (di solito C:\ShutdownLoggerSvc\Logs).
• Facile da consultare e da archiviare per audit semplici.

Come usarlo in breve:

1. Scarica Shutdown Logger dal sito ufficiale dello sviluppatore (cerca il nome esatto se non hai il link diretto).
2. Installa ed esegui il programma (richiede privilegi amministrativi per registrare il servizio).
3. Riavvia o spegni il PC per generare voci nel log.
4. Apri i file di log in C:\ShutdownLoggerSvc\Logs per leggere timestamp e dettagli.

Pro: leggibilità, semplicità, file di log facilmente esportabili.
Contro: cattura solo spegnimenti, non fornisce altri contesti diagnostici.

Usare TurnedOnTimesView

TurnedOnTimesView è una utility portatile che non richiede installazione né un servizio in background. Dopo l’avvio analizza i registri di sistema e presenta una lista cronologica di accensioni, spegnimenti, sospensioni e ibernazioni.

Perché usarlo:

• Portabilità: basta scaricarlo e avviarlo.
• Copre anche sospensione e ibernazione oltre agli spegnimenti.
• Offre dettagli aggiuntivi utili per il troubleshooting.

Come usarlo:

1. Scarica TurnedOnTimesView dal sito ufficiale dell’autore (NirSoft è un esempio di sviluppatore conosciuto per utility simili).
2. Estrai ed esegui l’eseguibile.
3. Leggi la lista: ogni riga mostra tipo di evento, data e ora, durata e altre note.

Limitazioni: per raccolte in ambienti aziendali su larga scala è meno adatto rispetto a soluzioni centralizzate di log.

Confronto rapido: quando scegliere cosa

• Visualizzatore eventi (Registri di Windows): per audit dettagliati, prove forensi e integrazione con altri log di sistema.
• Shutdown Logger: per semplici cronologie di spegnimento e conservazione dei log in file testuali.
• TurnedOnTimesView: per analisi veloci senza installazione e per includere sospensioni/ibernazioni.

Checklist per amministratori prima di monitorare gli spegnimenti

• Verifica policy aziendali e consenso per il monitoraggio.
• Assicurati di avere privilegi amministrativi sui sistemi target.
• Centralizza i log quando possibile (SIEM o server di raccolta log).
• Configura rotazione dei log e retention policy per privacy e compliance.
• Proteggi i file di log (ACL, crittografia se necessario).
• Testa la soluzione su un sistema pilota prima del rollout.

Mini-metodologia per scegliere lo strumento giusto

1. Definisci lo scopo: audit forense, monitoraggio uso, semplice inventario.
2. Valuta scala: singolo PC, workstation gruppi o rete aziendale.
3. Considera risorse: capacità di deploy e gestione, budget, competenze.
4. Scegli: Visualizzatore eventi per forensic; Shutdown Logger per semplicità; TurnedOnTimesView per diagnosi veloce.

Role-based checklist (ruoli comuni)

Amministratore di sistema:

• Automatizzare raccolta log, integrare con SIEM, definire retention.

Responsabile IT/manager:

• Richiedere report periodici, controllare policy di accesso, verificare anomalie.

Utente avanzato:

• Usare TurnedOnTimesView o Visualizzatore eventi per debug locale.

Esempi di casi d’uso e controesempi

Quando funziona bene:

• Indagare su un server che si spegne improvvisamente.
• Tracciare spegnimenti non programmati su workstation critiche.

Quando non è sufficiente:

• Monitoraggio in tempo reale su migliaia di dispositivi: serve centralizzazione (es. agenti e SIEM).
• Identificare l’utente che ha premuto fisicamente il pulsante di spegnimento se l’accesso fisico non è tracciato: qui servono telecamere o badge.

Sicurezza e privacy (note rapide)

• I log di spegnimento possono contenere informazioni sensibili (usernames, timestamp).
• Applica principle of least privilege per l’accesso ai log.
• Prevedi retention policy coerente con GDPR e normative locali: non conservare dati oltre il necessario.

Decision tree rapido

flowchart TD
    A[Devi tracciare gli spegnimenti?] --> B{Scala dell'ambiente}
    B -->|Singolo PC| C[Usa TurnedOnTimesView o Visualizzatore eventi]
    B -->|Pochi PC| D[Shutdown Logger per semplicità]
    B -->|Molti PC| E[Centralizza: agenti, SIEM, raccolta registri]
    C --> F[Verifica risultati e archivia]
    D --> F
    E --> F

Piccola FAQ

Q: Posso scoprire esattamente quale utente ha chiuso la sessione prima dello spegnimento?

A: I registri di Windows mostrano eventi di servizio e talvolta l’utente associato, ma non sempre forniscono la prova definitiva dell’azione fisica. Per responsabilità utente a livello fisico potrebbero servire altri sistemi di tracciamento (es. accessi con badge).

Q: Queste utility funzionano su Windows 11?

A: Sì: Visualizzatore eventi è presente anche in Windows 11; Shutdown Logger e TurnedOnTimesView funzionano in genere su versioni recenti di Windows, ma verifica compatibilità sul sito dello sviluppatore.

Riepilogo

• Il Visualizzatore eventi è lo strumento più completo e affidabile per audit e analisi dettagliate.
• Shutdown Logger è utile per chi vuole un semplice file di log degli spegnimenti.
• TurnedOnTimesView è la scelta migliore per analisi rapide senza installazione.

Scegli lo strumento in base allo scopo, alla scala e alle policy di sicurezza della tua organizzazione.

Cosa usi per il monitoraggio e la manutenzione? Raccontaci la tua esperienza nei commenti.

RELATED STORIES YOU NEED TO CHECK OUT:

• How to access unknown file extensions in Windows 10/8/7
• What are the risks of using pirated Windows 10?
• How to disable Microsoft To-Do account