テクノロジーガイド

Windowsで起動とシャットダウンの履歴を確認する方法

2 min read トラブルシューティング 更新されました 05 Oct 2025
Windowsの起動・シャットダウン履歴を確認する方法
Windowsの起動・シャットダウン履歴を確認する方法

TL;DR

PCがいつ起動・終了したかを確認するには、Windows標準のイベントビューアー、管理者権限のコマンドプロンプト、またはサードパーティツール(TurnedOnTimesView)を使うのが有効です。イベントID(主に6005/6006/6008/1074/41)を参照すれば、正常終了・異常終了・強制再起動などの種類と時刻を把握できます。

Windowsキーボード(Winキーのショートカット)

概要

時には、コンピューターがいつ起動したか/いつシャットダウンしたかの履歴を確認したい場面があります。例えばシステム管理者や、家族とPCを共有している場合、許可外のアクセスがなかったか確認したり、トラブルシューティングの手がかりにするためです。Windowsでは標準ツールと簡単なコマンド、あるいは専用ツールを使って起動/終了の履歴を取得できます。

この記事では、次の3つの方法を詳しく説明します。

  • 方法1: イベントビューアーを使う(GUI/詳細ログ)
  • 方法2: コマンドプロンプトを使う(スクリプト・自動化向け)
  • 方法3: TurnedOnTimesViewを使う(一覧化された読みやすい表示)

重要な用語(1行説明)

  • イベントログ: Windowsが記録する操作履歴。起動・終了・エラーなどを含む。
  • イベントID: 各イベントを識別する番号(例: 6005は起動、6006はシャットダウン)。

方法1 イベントビューアーを使う

イベントビューアーは管理者向けのツールで、エラー、警告、情報イベントなどを一覧表示できます。各プログラムやシステムサービスの開始・停止・エラーはイベントログに記録され、これを使って起動/シャットダウン履歴を確認できます。

まずは、起動とシャットダウンに関連する主なイベントIDを押さえましょう。

  • Event ID 41 - 電源オフやクラッシュなど、完全にシャットダウンされない状態で再起動が発生したときに記録されます(予期せぬ電源断など)。
  • Event ID 1074 - シャットダウンや再起動がユーザー操作(Startメニューのシャットダウン)やアプリケーションによって開始されたときに記録されます。理由(アプリ名やコマンド)も含まれます。
  • Event ID 6005 - 「イベント ログ サービスが開始されました」を示し、システムの起動を示す情報イベントです(いわゆるシステム起動時刻)。
  • Event ID 6006 - 「イベント ログ サービスが停止しました」を示し、正常なシャットダウンを表します。
  • Event ID 6008 - 予期しないシャットダウンが発生したときに記録されます(例えば電源ボタン長押しでの強制電源オフやクラッシュ)。

手順(イベントビューアーで確認する)

  1. キーボードで Win + R を押して「ファイル名を指定して実行」を開きます。
  2. テキスト欄に eventvwr と入力して Enter を押します。イベントビューアーが起動します。
  3. 左ペインで「Windows ログ」を展開し、「システム」を選択します。

イベントビューアーのWindowsログを示すスクリーンショット

  1. 右ペインまたは左ペインの操作から「現在のログのフィルター」を選択します。

現在のログのフィルターを示すスクリーンショット

  1. 「含める/除外するイベントID」の欄に調べたいイベントIDを入力します。起動/シャットダウンを確認するなら 6005,6006,6008,1074,41 などをカンマ区切りで入力します。

  2. OK をクリックすると、該当イベントのみが一覧表示されます。各エントリをダブルクリックすると、詳細(日時、理由、発生元など)を確認できます。

イベントID 6005 と 6006 をフィルタリングしたスクリーンショット

イベントの詳細表示のスクリーンショット

注意点

  • イベントログは管理者権限での閲覧が必要な場合があります。
  • イベントIDだけでは原因の完全特定は難しいため、関連するログ(エラーコードやソース名)も合わせて確認してください。

方法2 コマンドプロンプトを使う

GUI操作が面倒な場合や、スクリプト/自動実行で履歴を取得したい場合は、管理者権限のコマンドプロンプトで wevtutil コマンドを使うと短時間で結果を得られます。

手順(コマンドで確認する)

  1. Win + R を押して「ファイル名を指定して実行」を開きます。
  2. テキスト欄に cmd と入力し、Ctrl + Shift + Enter を押して管理者権限でコマンドプロンプトを起動します。
  3. シャットダウン履歴(イベントID 6006)を1件だけ表示するには、次のコマンドを実行します:
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

wevtutil コマンド実行のスクリーンショット

  1. 日付だけを抽出したい場合はパイプで findstr を使います:
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

wevtutil の日付抽出を示すスクリーンショット

活用例と応用

  • 任意のイベントIDを /q クエリの EventID 部分に入れ替えることで、起動(6005)、異常終了(6008)、ユーザー起動/シャットダウン(1074)などを取得できます。
  • バッチファイルやPowerShellスクリプトに組み込み、定期的にログを抽出してファイル保存・メール通知する運用も可能です。

方法3 サードパーティツール TurnedOnTimesView を使う

より見やすい一覧表示を求める場合、TurnedOnTimesView のような軽量ツールが便利です。起動・終了の開始時刻、継続時間、終了の種類(正常・強制)などを視覚的に整理してくれます。ローカルとリモート両方のコンピューターを対象にできます。

手順(TurnedOnTimesView の使い方)

  1. ブラウザで TurnedOnTimesView のダウンロードページにアクセスし、アプリをダウンロードします(ページの下部にダウンロードリンクがある場合があるので探してください)。
  2. ダウンロードした ZIP をエクスプローラーで展開します。
  3. 展開した実行ファイルを実行します。
  4. メニューの Options タブに移動し、Advanced Options を選びます。

TurnedOnTimesView のオプション画面のスクリーンショット

  1. データソースを選択します。Remote Computer を選ぶと、リモートのコンピューター名を入力して、そのPCの情報を取得できます。

データソース選択のスクリーンショット

利点と注意点

  • 利点: 長いイベントログをスクロールすることなく、一覧で直感的に起動・終了の履歴を参照できる点が便利です。CSV出力やフィルタ機能もあります。
  • 注意: サードパーティツールを利用する際は配布元の信頼性を確認し、ダウンロード前にウイルススキャンを行ってください。リモートPCのログを取得する場合は、相手の許可と適切な権限が必要です。

方法の比較と推奨

方法利点欠点推奨ユーザー
イベントビューアー詳細ログをGUIで確認できる慣れるまで探すのに時間がかかるシステム管理者、詳細調査が必要な場面
コマンドプロンプトスクリプト化・自動化が容易生データで見づらい場合がある自動化したい管理者、ログ解析者
TurnedOnTimesView見やすく一覧化、リモート対応外部ツールのため配布元確認が必要ユーザー、現場で素早く確認したい人

推奨: 深く調べるならイベントビューアー、定期的に自動保存するならコマンド、一覧で素早く確認するならTurnedOnTimesView。

ロール別チェックリスト

システム管理者

  • 管理者権限でイベントビューアーのフィルター条件を作成する
  • 重要なイベントID(41,1074,6005,6006,6008)を監視対象にする
  • wevtutil を定期ジョブに組み込み、ログを中央収集する

保護者(家庭での利用確認)

  • TurnedOnTimesViewで家族のPCの起動時間を一覧確認する
  • 不審な時間帯があればイベントID 1074/6008 を詳細確認する

パワーユーザー

  • コマンドで簡単に日付だけ抽出するエイリアスを作成する
  • バッチでCSV出力し、利用時間の可視化に使う

ミニSOP(トラブル対応の手順)

目標: 突然のシャットダウンが発生した場合に原因の手がかりを得る

  1. まずイベントビューアーで Event ID 6008 と 41 を検索する。
  2. それぞれのログの発生時刻を控え、前後のエントリ(ドライバー、サービスのエラー)を確認する。
  3. 1074 のようなユーザー起動/シャットダウン記録があれば、誰が操作したかを特定する手がかりになる。
  4. ハードウェア障害が疑われる場合は、電源ユニットやディスクのSMARTログを確認する。
  5. 必要ならば該当時刻のスクリーンショットやバックアップを確保し、上位担当者に報告する。

決定フローチャート(いつ・どの方法を使うか)

flowchart TD
  A[調べたいのは単一のPCか?] -->|はい| B[ローカルのGUIで確認したい?]
  A -->|いいえ| C[複数またはリモートPC?]
  B -->|はい| D[イベントビューアー]
  B -->|いいえ| E[コマンドプロンプト(スクリプト化)]
  C -->|簡単に一覧したい| F[TurnedOnTimesViewでリモート取得]
  C -->|自動収集したい| E

テストケースと受け入れ基準

  • 正常シャットダウンを実行して、イベントID 6006 が記録されること(受け入れ)
  • 強制シャットダウン(電源長押し)を実行して、イベントID 6008 または 41 が記録されること
  • Startメニューからシャットダウンして、イベントID 1074 が記録され、理由欄にユーザー操作が表示されること

セキュリティとプライバシーの注意点

  • イベントログには使用日時や発生元プロセス名などの情報が含まれます。第三者のPCログを取得する場合は必ず当該者の同意と適切な権限を得てください。
  • 企業内でログを集中管理する際はアクセス制御を設定し、ログの保存期間や削除ポリシーを定めてください。個人情報が含まれる場合は適用法(例: GDPR)に応じた取り扱いが必要です。

1行用語集

  • イベントビューアー: Windowsのログビューワ
  • wevtutil: Windowsイベントログを操作するコマンドラインツール
  • TurnedOnTimesView: 起動・終了一覧を表示するサードパーティツール

まとめ

  • 起動/シャットダウン履歴はイベントID(6005,6006,6008,1074,41)を中心に確認します。
  • 詳細調査にはイベントビューアー、スクリプトや定期収集には wevtutil、素早く一覧を見たい場合は TurnedOnTimesView が便利です。
  • ログ取得・共有はプライバシーと権限に注意してください。

重要: ログ解析を行う際は、単に時刻を確認するだけでなく、関連するエラーやサービス停止の前後関係を合わせて評価してください。

短いアナウンス文(例)

Windowsの起動やシャットダウン履歴を確認する方法をまとめました。イベントビューアー、コマンド、及びTurnedOnTimesViewの使い分けを知ることで、トラブル原因の特定や使用状況の監査が容易になります。

共有する: X/Twitter Facebook LinkedIn Telegram
著者
編集

類似の素材

Gmailハックの復旧と予防ガイド
オンラインセキュリティ

Gmailハックの復旧と予防ガイド

Windowsでのwgetエラーを解決する完全ガイド
コマンドライン

Windowsでのwgetエラーを解決する完全ガイド

カナダでAppleデバイスのデータを守る7つの方法
セキュリティ

カナダでAppleデバイスのデータを守る7つの方法

YouTubeチャンネルから連絡先を見つける方法
ガイド

YouTubeチャンネルから連絡先を見つける方法

Windowsで失われたDocumentsフォルダを復元する方法
Windows トラブルシューティング

Windowsで失われたDocumentsフォルダを復元する方法

AndroidでZIPをパスワード保護する方法
Android

AndroidでZIPをパスワード保護する方法