Guia de tecnologias

Como verificar quem e quando desligou um PC com Windows

7 min read Windows Admin Atualizado 10 Oct 2025
Ver quem desligou um PC Windows — 3 métodos
Ver quem desligou um PC Windows — 3 métodos

Painel do Windows Event Viewer mostrando logs do sistema

Para administradores e responsáveis por redes, saber quem desligou uma estação e quando isso ocorreu é informação útil para auditoria, troubleshooting e gestão de políticas de energia. Usuários comuns raramente precisam desse nível de detalhe, mas em ambientes corporativos o histórico de desligamentos ajuda a identificar padrões, comportamentos incorretos ou falhas de hardware/software.

Este artigo descreve três abordagens práticas: usar os logs nativos do Windows, instalar uma ferramenta simples que registra apenas desligamentos (Shutdown Logger) e utilizar uma ferramenta portátil com histórico detalhado (TurnedOnTimesView). No fim há checklists, limitações, alternativas e um fluxograma para escolher o método certo.

1. Usar os Logs do Windows (Event Viewer)

Os logs do Windows reúnem eventos de sistema, segurança e aplicações. Para desligamentos limpos o Event ID 6006 (Event log service was stopped) é o mais útil — ele indica quando o serviço de logs foi parado, normalmente durante um desligamento. Outro evento relevante é o 6008 (unexpected shutdown), que indica desligamento inesperado.

Passo a passo para encontrar desligamentos:

  1. Pressione Tecla Windows + X e depois V para abrir o Visualizador de Eventos. Alternativa: pressione Win+R e execute eventvwr.msc.
  2. No painel esquerdo, expanda Windows Logs.
  3. Clique em System.
  4. No painel direito, clique em Filter Current Log.
  5. Em “Event IDs” (IDs de evento), digite 6006 e confirme para filtrar registros de desligamento limpo. Filtro do Visualizador de Eventos configurado para o Event ID 6006
  6. No painel central você verá a lista de desligamentos mais recentes com data e hora exatas. Lista de eventos de desligamento com data e hora no Visualizador de Eventos

Dica rápida: o Up time (tempo desde o último boot) aparece no Gerenciador de Tarefas — abra com Ctrl+Shift+Esc, vá em Desempenho > CPU e verifique “Tempo de atividade” (Up time).

Importante: para ver quem iniciou o desligamento você precisa de auditoria adicional e permissões administrativas; por padrão os logs do sistema não mostram o usuário que executou o comando de desligamento. Em ambientes corporativos, ative auditoria de processos e políticas de segurança para obter correlação entre eventos e usuários.

2. Usar Shutdown Logger (ferramenta simples de terceiros)

Ícone do programa Shutdown Logger

Shutdown Logger é um serviço leve que grava exclusivamente eventos de desligamento em arquivos de texto. Ele é útil quando você quer logs legíveis, fáceis de coletar e enviar para análise sem depender de uma solução pesada.

Como funciona e onde buscar os logs:

  • Instale o serviço e ele registrará cada desligamento em arquivos de log.
  • Os arquivos de log ficam em C:\ShutdownLoggerSvc\Logs (mantenha este caminho exato se você seguir instruções ou scripts que o referenciem).
  • O serviço registra data e hora com precisão; não costuma registrar estados de sono/hibernação — apenas desligamentos.

Observações:

  • Se quiser obter o Shutdown Logger, baixe-o no site oficial do desenvolvedor ou em repositórios confiáveis. Verifique assinaturas/assinatura digital e leia avaliações antes de instalar.
  • Ideal para ambientes onde se deseja apenas histórico simples, sem configuração complexa.

3. Usar TurnedOnTimesView (sem instalação)

TurnedOnTimesView é uma ferramenta portátil que lê registros de eventos do Windows e apresenta um histórico consolidado de ligações, desligamentos, hibernações e estados de suspensão. Funciona sem instalação e pode ser executada diretamente para gerar relatórios rápidos.

Vantagens:

  • Não requer instalação nem serviço em segundo plano.
  • Lista eventos de vários tipos (startup, shutdown, sleep, hibernate) com horários exatos.
  • Bom para análises pontuais e investigações forenses básicas.

Limitações:

  • Depende dos logs existentes; se os logs forem limpos ou truncados, o histórico pode ser parcial.
  • Requer privilégios para ler certos logs em máquinas remotas.

Procure o TurnedOnTimesView no site oficial do desenvolvedor ou em repositórios confiáveis. Sempre confirme a integridade dos binários antes de executar.

Quando cada método é mais indicado

  • Event Viewer: quando você precisa de evidência oficial e auditável, integra-se a políticas de auditoria e é suportado sem software adicional.
  • Shutdown Logger: quando quer um histórico simples, arquivo-por-arquivo, fácil de coletar e arquivar.
  • TurnedOnTimesView: quando prefere uma ferramenta portátil que agrega eventos e mostra sleep/hibernate além de desligamentos.

Limitações e quando esses métodos falham

  • Logs truncados ou rotacionados: políticas de retenção podem apagar eventos antigos.
  • Limpeza manual de logs: um usuário com privilégios pode apagar eventos, tornando o histórico incompleto.
  • Falta de correlação com usuários: por padrão, os eventos de desligamento não incluem o nome do usuário que executou o comando.
  • Máquinas sem política de auditoria: sem configurá-la, não haverá dados para ligar ações a contas específicas.

Mitigações práticas:

  • Aplique retenção adequada dos logs e envie cópias para um servidor central (SIEM/collector).
  • Ative auditoria de processos e login para correlacionar eventos.
  • Restrinja privilégios de administração para reduzir a possibilidade de limpeza de logs.

Alternativas empresariais e automação

  • Soluções de gestão (ex.: System Center Configuration Manager, Intune) podem coletar telemetria e estado de energia centralmente.
  • SIEM e ferramentas de log centralizado agregam eventos de várias máquinas e facilitam buscas por período/host.
  • Scripts PowerShell (Get-EventLog/Get-WinEvent) permitem automação e coleta periódica de eventos 6006/6008 para armazenamento em CSV/BD.

Mini-metodologia para coleta automatizada (exemplo de alto nível):

  1. Defina quais IDs de evento serão coletados (6006, 6008, 6005, 6013, etc.).
  2. Configure um script PowerShell que rode via agendador ou GPO e exporte para um servidor central.
  3. Armazene e retenha logs conforme política de compliance.
  4. Alimente um painel ou alerta para picos incomuns de desligamentos.

Checklists por função

Administrador de TI:

  • Verificar retenção dos Windows Logs.
  • Habilitar auditoria quando necessário.
  • Implantar coleta centralizada (SIEM ou servidor de logs).
  • Testar ferramentas portáteis em um ambiente controlado.

Responsável de suporte (help desk):

  • Usar TurnedOnTimesView para investigação rápida em máquinas locais.
  • Coletar logs relevantes e encaminhar para o administrador.

Gestor/Operações:

  • Revisar relatórios periódicos de desligamentos fora do horário.
  • Definir políticas de energia e comunicar usuários.

Fluxograma de decisão (Mermaid)

flowchart TD
  A[Preciso rastrear desligamentos?] --> B{Ambiente}
  B -->|Pequena rede / single PC| C[Usar TurnedOnTimesView]
  B -->|Ambiente corporativo| D[Usar Event Viewer + coleta centralizada]
  D --> E{Precisa de logs simples?
  }
  E -->|Sim| F[Shutdown Logger]
  E -->|Não| G[SIEM / Scripts PowerShell]
  C --> H[Fim]
  F --> H
  G --> H

Quando não usar essas ferramentas (pontos de falha)

  • Se houver políticas de segurança que proíbem execução de binários não assinados, não execute ferramentas portáteis sem aprovação.
  • Em máquinas críticas, teste em ambiente controlado antes de instalar serviços adicionais.

1-linha de glossário

  • Event ID 6006: evento do Windows que indica que o serviço de log foi parado (desligamento limpo).

Perguntas frequentes

Q: Consigo saber o usuário que clicou em “Desligar”?

A: Nem sempre. Para correlacionar desligamentos a usuários é necessário habilitar auditoria de processos, coletar eventos adicionais e usar ferramentas de correlação. Por padrão os eventos de desligamento não incluem o nome do usuário.

Q: Logs antigos desapareceram — há como recuperar?

A: Se os logs foram truncados ou apagados, a recuperação depende de backups ou do envio prévio desses logs para um coletor central. Sem backup, é improvável recuperar eventos apagados.

Resumo

  • Use o Visualizador de Eventos para uma solução nativa e auditável.
  • Shutdown Logger é útil para logs simples e legíveis.
  • TurnedOnTimesView é prático para análises rápidas sem instalar nada.
  • Considere retenção de logs, auditoria e coleta centralizada para ambientes corporativos.

Importante: sempre valide a fonte de ferramentas de terceiros e aplique políticas de segurança antes de instalar softwares em máquinas de produção.

HISTÓRIAS RELACIONADAS QUE VOCÊ PRECISA VER:

  • Como acessar extensões de arquivo desconhecidas no Windows 10/8/7
  • Quais são os riscos de usar Windows 10 pirateado?
  • Como desativar a conta Microsoft no Microsoft To-Do
Compartilhar: X/Twitter Facebook LinkedIn Telegram
Autor
Edição

Materiais semelhantes

Integrar SFTP ao Explorador do Windows
Tutoriais

Integrar SFTP ao Explorador do Windows

Migrar fotos do Facebook para Google+ e Picasa
Tutoriais

Migrar fotos do Facebook para Google+ e Picasa

Como baixar filmes e séries da Netflix (offline)
Streaming

Como baixar filmes e séries da Netflix (offline)

Configurar /dev/sda e GRUB para RAID1 no CentOS 5.3
Linux

Configurar /dev/sda e GRUB para RAID1 no CentOS 5.3

Como ver a contagem de dislikes do YouTube
Tutoriais

Como ver a contagem de dislikes do YouTube

Como filtrar feeds RSS com Feed Rinse
Guias

Como filtrar feeds RSS com Feed Rinse