Como ver o histórico de inicialização e desligamento do Windows

Por vezes é necessário verificar quando um computador foi ligado ou desligado — por exemplo, se você administra sistemas ou compartilha o PC com familiares. O histórico de inicializações e desligamentos ajuda a solucionar problemas, detectar acessos fora do horário permitido e entender comportamentos inesperados do sistema.

Este artigo descreve três métodos eficientes para checar o histórico de inicialização e desligamento no Windows: Visualizador de Eventos, Prompt de Comando e uma ferramenta de terceiros. Também inclui dicas para interpretar os eventos, limitações, checklists e um pequeno fluxo de decisão para escolher o método mais adequado.

Por que checar esse histórico

• Auditoria e segurança: confirme se o PC foi usado em horários proibidos.
• Troubleshooting: identificar reinícios forçados ou falhas que causam perda de trabalho.
• Administração remota: verificar uptime de máquinas na rede.

Definição rápida: Event ID é um identificador numérico que o Windows registra para indicar um tipo específico de evento no log do sistema.

Visão geral dos Event IDs relevantes

Fact box

• Event ID 41 — Reinício inesperado (por exemplo, queda de energia, botão físico).
• Event ID 1074 — Desligamento/reinício solicitado por um programa ou pelo usuário via Menu Iniciar.
• Event ID 6005 — Serviço de log de eventos iniciado; sinaliza que o sistema subiu (startup).
• Event ID 6006 — Serviço de log de eventos parado; sinaliza desligamento correto.
• Event ID 6008 — Desligamento inesperado (erro crítico, travamento).

Esses IDs fornecem a maior parte da informação necessária para determinar quando o sistema iniciou e quando foi encerrado.

1. Visualizador de Eventos

O Visualizador de Eventos é a ferramenta administrativa padrão do Windows para ver logs do sistema, segurança e aplicações. Use-o quando precisar de um histórico detalhado e filtrável.

Passo a passo

1. Pressione Win + R para abrir Executar.
2. Digite eventvwr e pressione Enter. Isso abrirá o Visualizador de Eventos.
3. No painel esquerdo, expanda a seção Registros do Windows e selecione Sistema.

4. No painel direito, escolha Filtrar registro atual.

5. Na caixa Includes/Excludes Event IDs, informe os IDs que você quer ver. Exemplo: 6005,6006 para ver startups e desligamentos corretos.

6. Clique em OK. O Visualizador exibirá apenas os eventos com os IDs selecionados.

Como interpretar os resultados

• Event ID 6005: veja a hora do evento — é o momento em que o serviço de logs iniciou (startup).
• Event ID 6006: indica que o sistema foi desligado corretamente; combine com o 6005 seguinte para medir uptime.
• Event ID 6008: atenção — indica desligamento inesperado; investigue drivers, hardware ou quedas de energia.
• Event ID 41: reinício forçado; geralmente sinaliza perda súbita de energia ou reset.
• Event ID 1074: mostra o motivo do desligamento quando acionado por um aplicativo (ex.: Windows Update).

Dica: selecione um evento e leia a descrição completa no painel inferior para obter o usuário, motivos e detalhes técnicos.

Quando usar este método

• Auditoria detalhada ou quando for preciso filtrar por período, código de evento ou origem.
• Para correlacionar múltiplos eventos antes e depois de um incidente.

Limitações

• Interface gráfica pode ser lenta para consultas em muitos eventos.
• Requer acesso administrativo para ver certos logs em máquinas remotas.

2. Prompt de Comando

Para quem prefere linha de comando ou scripts, use wevtutil para consultar logs rapidamente. Útil em automações e quando precisar extrair só a última ocorrência.

Como abrir o Prompt de Comando como administrador

1. Pressione Win + R.
2. Digite cmd e pressione Ctrl + Shift + Enter para executar como administrador.

Comandos úteis

• Mostrar o último evento 6006 (desligamento correto):

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

• Mostrar apenas a data/hora do último evento 6006:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

• Para ver o último startup (6005), substitua 6006 por 6005:

wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1

Observações

• O parâmetro /c:1 limita a saída para o evento mais recente.
• Use scripts PowerShell para coletar e exportar várias entradas para CSV.

Vantagens

• Rápido, fácil de incluir em scripts e rotinas de monitoramento.
• Útil para administradores que processam muitas máquinas.

Quando não usar

• Se você precisar de contexto visual ou das mensagens completas em ligação com outros logs; neste caso prefira o Visualizador de Eventos.

3. Ferramenta de terceiros: TurnedOnTimesView

Se quiser um resumo imediato sem navegar por logs, TurnedOnTimesView (da NirSoft) apresenta uma tabela clara com cada inicialização e desligamento, tipo (normal, forçado), duração e motivo quando disponível.

Passo a passo

1. Baixe o TurnedOnTimesView na página oficial da NirSoft.
2. Extraia o arquivo em File Explorer.
3. Execute o executável extraído.
4. Abra a aba Options e escolha Advanced Options.

5. Escolha a fonte de dados: Local Computer para a máquina atual ou Remote Computer para outra máquina na rede. Se escolher remoto, informe o nome do computador e confirme.

Vantagens

• Interface leve e direta, ideal para administradores que precisam de uma visão rápida.
• Exporta dados para CSV/HTML para relatórios.

Riscos e cuidados

• Baixe sempre de fontes oficiais (site do desenvolvedor) e verifique a reputação da ferramenta.
• Ferramentas de terceiros podem exigir privilégios; use em máquinas de confiança.

Como escolher o método correto

Mermaid

flowchart TD
  A[Preciso do histórico] --> B{Precisa de detalhe ou resumo rápido?}
  B -->|Detalhe e filtragem| C[Visualizador de Eventos]
  B -->|Rápido ou por script| D[Prompt de Comando]
  B -->|Resumo visual imediato| E[TurnedOnTimesView]
  C --> F[Use quando auditar ou correlacionar eventos]
  D --> G[Use para automação e coleta em lote]
  E --> H[Use para leitura rápida e exportação]

Checklists rápidos

Checklist para Administrador de Sistemas

• Acesso administrativo ao host.
• Ferramenta escolhida (Event Viewer, wevtutil, TurnedOnTimesView).
• Período de interesse definido (datas/horários).
• IDs relevantes prontos (6005, 6006, 6008, 41, 1074).
• Exportar logs para CSV/HTML se for gerar relatório.

Checklist para Usuário Doméstico

• Verifique primeiro os eventos 6005 e 6006 no Visualizador de Eventos.
• Use TurnedOnTimesView para um resumo amigável.
• Não instale ferramentas de fontes desconhecidas.

Critérios de aceitação

• Consegui localizar pelo menos um evento 6005 e um 6006 dentro do intervalo pesquisado.
• O horário do último evento de inicialização corresponde ao momento em que o usuário afirma ter ligado o PC.
• Eventos 6008 ou 41 indicam desligamento inesperado e requerem investigação adicional.

Quando os métodos falham ou são incompletos

• Logs antigos podem ter sido apagados ou truncados por limpeza automática de log.
• Em sistemas com políticas de retenção agressivas, os eventos podem não estar disponíveis.
• Se o disco estiver corrompido, os logs podem estar incompletos. Nesses casos, verifique integridade do disco e backups.

Privacidade e segurança

• Os logs podem conter nomes de usuário e nomes de máquinas; trate-os como dados sensíveis.
• Ao coletar logs de máquinas remotas, siga as políticas internas de privacidade e obtenha autorização quando necessário.

Resumo final

Saber quando um PC foi inicializado ou desligado é simples com ferramentas nativas: Visualizador de Eventos para análise detalhada, wevtutil no Prompt de Comando para consultas rápidas e TurnedOnTimesView para uma visão resumida. Use o método que melhor se encaixa na sua necessidade — auditoria, automação ou rapidez — e siga os checklists acima para garantir resultados confiáveis.

Importante: sempre execute operações administrativas com cuidado e mantenha backups antes de alterar configurações do sistema.

FAQ

Q: Posso ver os eventos de outra máquina na rede?

A: Sim. O Visualizador de Eventos e o TurnedOnTimesView permitem consultar computadores remotos se você tiver permissões administrativas e conectividade de rede adequada.

Q: Os logs mostram qual usuário desligou o PC?

A: Nem sempre. O Event ID 1074 geralmente contém o usuário ou processo que solicitou o desligamento. Eventos 6006/6005 normalmente não contêm o nome do usuário.

Q: Os eventos persistem após reinstalar o Windows?

A: Não. Reinstalar o sistema geralmente reinicia os logs. Exporte os logs antes da reinstalação para preservar o histórico.

Q: É possível automatizar a coleta desses eventos?

A: Sim. Use scripts PowerShell ou wevtutil em lote para exportar eventos periodicamente para CSV.