Гид по технологиям

Как посмотреть историю загрузок и выключений Windows

6 min read Windows Обновлено 02 Jan 2026
История загрузок и выключений Windows — как посмотреть
История загрузок и выключений Windows — как посмотреть

Клавиатура компьютера с Windows 10

Введение

Иногда нужно знать точное время загрузки и выключения компьютера — например, для расследования проблем, учёта рабочего времени или проверки, кто использовал машину в ваше отсутствие. Windows фиксирует эти события в системных журналах. В этой статье подробно описаны три практических способа получить историю загрузок и выключений: через Просмотр событий, через Командную строку и с помощью сторонней утилиты. В конце — чеклисты, сценарии и рекомендации по безопасности.

Что фиксируется в системных журналах

Краткое объяснение самых важных кодов событий (Event ID):

  • Event ID 41 — перезапуск без корректного завершения (например, отключение питания или сбой).
  • Event ID 1074 — завершение или перезапуск инициировано из интерфейса (пользователь или приложение).
  • Event ID 6005 — запуск системы; создаётся при запуске службы журнала событий (эквивалент “Event log service started”).
  • Event ID 6006 — корректное завершение работы системы (“Event log service stopped”).
  • Event ID 6008 — неожиданное завершение работы системы (сбои, принудительное выключение).

Факт-бокс — ключевые номера событий:

  • Старт: 6005
  • Корректный стоп: 6006
  • Неожиданный стоп: 6008
  • Принудительный перезапуск: 41
  • Инициированный перезапуск/стоп: 1074

1. Использование Просмотра событий

Просмотр событий (Event Viewer) — штатный административный инструмент Windows для анализа логов: ошибок, предупреждений и служебных сообщений.

  1. Нажмите Win + R, чтобы открыть окно Выполнить.
  2. Введите eventvwr и нажмите Enter — откроется Просмотр событий.
  3. В левой панели разверните Windows Logs и выберите System.

Системный журнал в Просмотре событий

  1. В правой или левой панели выберите Filter current log (Фильтр текущего журнала).

Окно фильтрации журнала в Просмотре событий

  1. В поле Includes/Excludes Event IDs введите идентификаторы, которые хотите посмотреть. Для истории загрузок/выключений укажите 6005,6006,6008,1074,41.

Ввод Event ID 6005 и 6006 в фильтр

  1. Нажмите OK — в центральной панели отобразится список подходящих событий. Клик по событию показывает подробности: точную дату и время, источник, код и текст причины.

Отфильтрованные события 6005 6006 в Просмотре событий

Подсказки:

  • Применяйте фильтрацию по интервалу дат, чтобы быстро найти события за нужный период.
  • Если нужно понять причину перезапуска, смотрите Event ID 1074 и текст в поле “User” или “Process”.

2. Использование Командной строки

Если вы предпочитаете быстрый текстовый вывод или хотите автоматизировать проверку, используйте wevtutil — утилиту для чтения Windows Event Log из командной строки.

  1. Нажмите Win + R и введите cmd.
  2. Нажмите Ctrl + Shift + Enter, чтобы открыть Командную строку с правами администратора.
  3. Для просмотра последнего события корректного завершения (6006) выполните:
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

Команда wevtutil в командной строке

  1. Если нужен только штамп даты и времени, дополните фильтрацию через findstr:
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Выбор только даты с помощью findstr

Примеры полезных команд:

  • Последнее неожиданное завершение (6008): замените EventID=6006 на EventID=6008.
  • Все события за последние N записей: измените /c:1 на /c:100.
  • Экспорт в файл: добавьте > C:\путь\events.txt в конец команды.

Совет по автоматизации: упакуйте команду в .bat или PowerShell-скрипт, чтобы получать отчёт по расписанию.

3. Использование сторонней утилиты TurnedOnTimesView

TurnedOnTimesView — компактный инструмент NirSoft, отображающий время включения и выключения в удобной таблице. Поддерживает локальные и удалённые компьютеры.

Плюсы: быстрый обзор, фильтры, экспорт CSV/HTML, чтение журналов удалённых машин. Минусы: сторонние бинарные файлы, возможно предупреждение антивируса, требуются права доступа для удалённых машин.

Шаги:

  1. Скачайте TurnedOnTimesView со страницы разработчика (пролистайте страницу до раздела загрузки).
  2. Распакуйте скачанный архив.
  3. Запустите исполняемый файл.
  4. Вкладка Options → Advanced Options позволяет выбрать источник данных.

Настройки TurnedOnTimesView — опции

  1. При выборе Remote Computer укажите имя удалённой машины и подтвердите.

Выбор источника данных в TurnedOnTimesView

Инструмент автоматически соберёт записи и покажет таблицу с типом события (нормальное, принудительное), длительностью сессии и метками времени. Экспортируйте в CSV для отчётов.

Когда эти методы не подходят

  • Логи были очищены или повреждены — тогда история частично или полностью недоступна.
  • Если система использует сторонние механизмы логирования (например, специальные решения для кластера), штатные Event Logs могут не содержать нужных данных.
  • На гостевых ВМ или в контейнерах журнал может не сохраняться при конфигурации хоста.

Решения:

  • Проверьте резервные копии журналов или средства централизованного логирования (SIEM).
  • Включите длительное хранение системных журналов и регулярный экспорт.

Альтернативные подходы

  • PowerShell: используйте Get-WinEvent или Get-EventLog для гибких выборок и фильтрации по времени, уровню и источнику.
  • SIEM/централизованные логи: если в организации есть Splunk/ELK/Graylog, собирайте туда журналы Windows.
  • WMI/WinRM: получение удалённых событий через удалённые вызовы управления.

Пример PowerShell-запроса (быстрая выборка последних 50 запусков):

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} -MaxEvents 50 | Select-Object TimeCreated, Id, Message

Чек-лист для системного администратора

  • Проверить права доступа к журналам (служба Event Log запущена).
  • Выполнить фильтрацию по Event ID 6005, 6006, 6008, 1074, 41.
  • Экспортировать найденные записи в CSV/HTML для отчёта.
  • Сверить события с сетевой активностью и политиками безопасности.
  • При необходимости собрать логи с удалённых компьютеров.

Критерии приёмки

Чтобы считать задачу по проверке истории выполненной:

  • Найдены все события за указанный период с корректными метками времени.
  • Установлены причины внезапных отключений (6008, 41) или инициаторов (1074).
  • Экспортированы данные отчётом (CSV/HTML) и сохранены в защищённом хранилище.

Инцидент: быстрый план действий (runbook)

  1. Собрать последние 100 записей System через wevtutil или Get-WinEvent.
  2. Отфильтровать события 6008 и 41 для поиска времени сбоя.
  3. Сравнить с журналами приложений и драйверов (Event ID приложений и System).
  4. Если обнаружены аппаратные ошибки, уведомить инженерную команду и сохранить дамп памяти.
  5. При подозрении на посторонний доступ — экспортировать логи и передать в команду безопасности.

Мини-методология: как системно проверять подозрительные выключения

  1. Оцените временной диапазон (сутки/неделя/месяц).
  2. Соберите события System за диапазон (6005, 6006, 6008, 1074, 41).
  3. Проверьте соответствие с пользовательскими сессиями и сетью.
  4. Экспортируйте и отведите причины: аппаратные, программные, пользовательские.
  5. Примите решение: настройка мониторинга, замена оборудования, изменение политик.

Модель принятия решения

flowchart TD
  A[Нужно ли узнать время включений?] --> B{История доступна?}
  B -- Да --> C[Использовать Просмотр событий]
  B -- Нет --> D[Проверить резервные копии/SIEM]
  C --> E{Нужно массово/автоматически?}
  E -- Да --> F[Использовать PowerShell/wevtutil]
  E -- Нет --> G[Использовать TurnedOnTimesView]
  D --> H[Собрать данные из внешнего лог-сервиса]

Безопасность и конфиденциальность

  • Просмотр системных журналов требует прав администратора — храните эти права строго по ролям.
  • Экспортированные файлы с журналами могут содержать информацию о пользователях и процессах — шифруйте и защищайте хранилище.
  • При работе с удалёнными машинами используйте защищённые каналы (WinRM по HTTPS) и проверяйте подлинность хостов.

Краткий глоссарий

  • Event ID — числовой идентификатор типа системного события.
  • Просмотр событий — встроенный инструмент Windows для анализа логов.
  • wevtutil / Get-WinEvent — инструменты для работы с журналами из командной строки/PowerShell.
  • TurnedOnTimesView — сторонняя утилита для удобного просмотра истории включений/выключений.

Часто задаваемые вопросы

Какой Event ID показывает корректное выключение?

Код 6006 указывает на корректное завершение работы (служба журнала остановлена).

Можно ли получить историю с удалённого компьютера?

Да: TurnedOnTimesView поддерживает Remote Computer. Также можно использовать PowerShell (WinRM) или централизованные SIEM-системы.

Что делать, если журналы очищены?

Проверьте централизованные репозитории логов, резервные копии, или включите долговременное хранение журналов и аудит на будущее.

Заключение

Просмотр истории загрузок и выключений Windows — стандартная задача для администраторов и продвинутых пользователей. Для разового анализа удобно использовать Просмотр событий, для скриптов и автоматизации — wevtutil или PowerShell, а для быстрой визуализации и экспорта — TurnedOnTimesView. Всегда защищайте экспортированные логи и настраивайте централизованный сбор для критичных инфраструктур.

Важно: если журналов нет или они повреждены, обратитесь к резервным копиям или к инструментам централизованного логирования.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как нарисовать пыль феи в Photoshop
Фоторедакция

Как нарисовать пыль феи в Photoshop

Фотоколлаж в Photoshop — пошагово
Графический Дизайн

Фотоколлаж в Photoshop — пошагово

Как создать облака в Photoshop — простой метод
Photoshop

Как создать облака в Photoshop — простой метод

Преобразовать вложенный список Python
Python

Преобразовать вложенный список Python

Auto-Shutdown: авто-выключение Firefox после загрузок
Инструменты

Auto-Shutdown: авто-выключение Firefox после загрузок

Как включить двухэтапный вход в Wise
Безопасность аккаунта

Как включить двухэтапный вход в Wise