Как посмотреть историю включений и выключений Windows

Иногда нужно выяснить, когда компьютер был включён или выключен. Это полезно системным администраторам, при совместном использовании ПК с членами семьи или при расследовании ошибок. История включений и выключений помогает обнаружить несоответствия в расписании работы, понять причины внезапных отключений и отследить возможный несанкционированный доступ.

Ниже подробно рассмотрены три надёжных способа получить эту информацию в Windows: Просмотр событий (Event Viewer), Командная строка (wevtutil) и сторонний инструмент TurnedOnTimesView. В конце приведены диагностика, чек-листы и готовые команды для быстрой работы.

Ключевые события, на которые смотреть

Кратко о Event ID, которые показывают включения и выключения (определения в одну строку):

• Event ID 41 — аварийная перезагрузка без корректного завершения работы.
• Event ID 1074 — корректное завершение работы или перезагрузка, инициированные системой или приложением.
• Event ID 6005 — запуск службы журнала событий (часто интерпретируется как запуск системы).
• Event ID 6006 — корректное завершение работы (журнал событий остановлен).
• Event ID 6008 — неожиданное завершение работы (некорректное выключение).

Эти события создаются системой и записываются в системный журнал каждый раз, когда происходят соответствующие действия. Дальше — как их посмотреть.

1. Просмотр через Event Viewer (Просмотр событий)

Просмотр событий — штатный инструмент Windows для диагностики. Он показывает детальные записи обо всех системных событиях.

Шаги для получения истории включений/выключений:

1. Нажмите Win + R, чтобы открыть окно «Выполнить».
2. Введите eventvwr и нажмите Enter. Это запустит Просмотр событий.
3. В левом меню разверните Windows Logs и выберите System.

4. В правой части (или в меню Действие) выберите Filter Current Log (Фильтровать текущий журнал).

5. В поле Includes/Excludes Event IDs введите ID, которые хотите увидеть. Для истории старта и выключения введите:

6005, 6006, 6008, 1074, 41

6. Нажмите OK. Просмотр событий покажет только выбранные события и их временные метки.

Советы по использованию Просмотра событий:

• Сортируйте по столбцу Date and Time, чтобы быстро увидеть последние записи.
• Откройте запись двойным кликом для просмотра подробностей (код события, источник, описание).
• Экспортируйте фильтр в файл XML, если нужно автоматизировать импорт на другие машины.

Важно: Логи могут очищаться при очистке журнала или при ротации; для длительного хранения экспортируйте их регулярно.

2. Быстрый поиск через Командную строку (wevtutil)

Если вы предпочитаете консоль или хотите автоматизировать проверку — используйте wevtutil. Команда позволяет запросить последние записи по Event ID и быстро получить дату/время.

Запуск консоли с правами администратора:

1. Нажмите Win + R.
2. Введите cmd и нажмите Ctrl + Shift + Enter.

Просмотр последней записи корректного выключения (Event ID 6006):

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

Чтобы вывести только дату/время из записи, можно добавить фильтрацию через findstr:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Полезные варианты и подсказки:

• Замените 6006 на 6005, 6008, 1074 или 41 для других типов событий.
• Используйте /c:N, чтобы получить N последних записей.
• Настройте скрипт PowerShell для регулярного опроса и записи результатов в CSV.

Пример PowerShell-сниппета для экспорта последних 10 записей 6006 в CSV:

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:xml /c:10 | 
Select-String -Pattern '

(Этот фрагмент извлекает XML-временные метки и сохраняет их в CSV для анализа.)

3. Использование TurnedOnTimesView (сторонняя утилита)

Если нужен быстрый и удобный отчет без ручного фильтрования журналов, TurnedOnTimesView — хорошее решение. Она собирает данные о всех включениях/выключениях и показывает тип события (нормальное, принудительное и т.д.).

Шаги:

1. Скачайте TurnedOnTimesView с официальной страницы разработчика.
2. Распакуйте архив в папку.
3. Запустите исполняемый файл (обычно не требует установки).
4. В меню Options откройте Advanced Options.

5. Выберите источник данных: локальный или удалённый компьютер. Для удалённого укажите имя машины и нажмите OK.

Преимущества TurnedOnTimesView:

• Удобный интерфейс с возможностью экспорта в CSV/HTML.
• Показ типа отключения (нормальное/принудительное).
• Поддержка удалённых компьютеров в сети.

Ограничения:

• Сторонние утилиты требуют доверия — скачивайте только с официальных сайтов.
• На управляемых корпоративных машинах запуск EXE может быть заблокирован политиками.

Чек-листы по ролям

Системный администратор:

• Проверить Event IDs 6005, 6006, 6008, 1074, 41.
• Экспортировать логи в централизованный репозиторий (SIEM, syslog, CSV).
• Настроить оповещения при частых 6008/41 (аварийные выключения).
• Автоматизировать сбор с удалённых машин через PowerShell/PSRemoting.

Домашний пользователь:

• Используйте TurnedOnTimesView для наглядного отчёта.
• Проверяйте 6008 при внезапных отключениях (возможная проблема с питанием).
• Защитите учётные записи паролем и включите журнал безопасности при подозрениях на доступ.

Сценарии и когда какой метод выбрать

• Нужен быстрый визуальный отчёт на локальной машине: TurnedOnTimesView.
• Нужно автоматическое оповещение и централизованный сбор: wevtutil/PowerShell + SIEM.
• Требуется глубокий анализ событий и сопоставление с другими логами: Просмотр событий (Event Viewer) и экспорт XML.

Примеры ошибок и как их диагностировать

1. Частые Event ID 6008 (неожиданное выключение)

• Возможные причины: сбои питания, перегрев, проблемный драйвер, аппаратный дефект.
• Действия: проверить питание и БП, прочитать системные ошибки в Event Viewer (Kernel-Power), выполнить тест оперативной памяти (memtest), проверить SMART диска.

2. Event ID 41 (Kernel-Power)

• Это признак аварийного отключения. Проверьте источник питания, драйверы видеокарты и настройки управления электропитанием.

3. Много записей 1074 с неизвестным источником

• Откройте детальную запись — там указывается процесс/приложение, инициировавшее перезагрузку. Если это приложение стороннее, проверьте обновления или удаления.

SOP: Быстрая проверка истории выключений (для админа)

1. Подключитесь к целевой машине (RDP/PSRemoting).
2. Откройте консоль с правами администратора.
3. Выполните команду для выгрузки последних 50 записей 6006 и 6005 в XML:

wevtutil qe system "/q:*[System [(EventID=6005 or EventID=6006)]]" /rd:true /f:xml /c:50 > C:\temp\boot_shutdown.xml

4. Импортируйте XML в анализатор или конвертируйте в CSV для отчёта.
5. Если найдено много 6008/41 — проверьте аппаратную подсистему и события Kernel-Power.

Критерии приёмки

• Данные доступны: вы видите события с нужными Event ID и временными метками.
• История покрывает требуемый интервал времени (учтите ротацию логов).
• Экспорт/отчёт корректно импортируется в систему аналитики.

Шаблон отчёта (короткий)

• Машина: HOSTNAME
• Период: 2025-01-01 — 2025-01-31
• Всего включений (6005): N
• Всего корректных выключений (6006): M
• Всего аварийных (6008/41): K
• Комментарии: краткое описание подозрительных событий

Советы по безопасности и соответствию (коротко)

• Храните журналы в защищённом месте и ограничьте доступ.
• Для GDPR: логи содержат временные метки и локальные имена устройств, обычно это допустимо, но для передачи данных вне организации применяйте минимизацию.
• В корпоративной среде интегрируйте логи в SIEM и задайте политики удержания.

Часто встречующиеся вопросы

Q: Можно ли посмотреть историю включений за полгода назад?

A: Да, если журналы не были очищены и если ротация логов покрывает этот период. В противном случае сохраняйте экспорты периодически.

Q: Покажет ли TurnedOnTimesView причину выключения?

A: Да — утилита отображает тип (нормальное/принудительное) и сопутствующую информацию, но для детального описания лучше смотреть Event Viewer.

Q: Как автоматизировать оповещения о неожиданных выключениях?

A: Настройте мониторинг Kernel-Power/ID 41 и 6008 в вашей системе мониторинга или SIEM; задайте алерты по порогу.

Краткое резюме

• Event Viewer даёт детальную информацию и подходит для глубокого анализа.
• wevtutil и PowerShell удобны для автоматизации и экспорта.
• TurnedOnTimesView — простой визуальный вариант для локальных и сетевых отчётов.

Примечание: всегда скачивайте сторонние утилиты с официальных сайтов и проверяйте цифровые подписи, если это критично для безопасности.

Конец. Проверьте выбранный метод на тестовой машине, прежде чем запускать массовые сборы логов в продуктиве.