Как отследить, кто и когда выключал ПК в Windows

TL;DR

Коротко: встроенный Просмотр событий Windows позволяет увидеть точное время и тип завершения работы. Для удобства и фильтрации используйте Shutdown Logger или портативную утилиту TurnedOnTimesView. Администраторам полезно сочетать журналы событий и сторонние утилиты для аудита и расследований.

Зачем это нужно

Администраторы и менеджеры часто отслеживают выключения для аудита, диагностики сбоев и планирования технического обслуживания. Обычным пользователям это важно реже, но в корпоративной среде знание того, кто и когда завершал работу системы, помогает восстановить последовательность событий и выявить подозрительные действия.

1. Через журналы Windows (Просмотр событий)

Windows сохраняет ключевые системные события в журнале. Это первичный и самый надёжный источник информации о запуске и завершении работы системы.

Шаги для проверки завершений работы в Просмотре событий:

1. Нажмите комбинацию клавиш Win + X, затем выберите Просмотр событий.
2. В левой панели откройте Журналы Windows.
3. Выберите раздел Система.
4. В правой панели нажмите Фильтровать текущий журнал.
5. Введите идентификатор события 6006 в поле Идентификаторы событий и примените фильтр.

6. В центральной панели увидите список записей о завершении работы с датой и временем.

Важно: используйте идентификаторы событий, а не поле Источник, для точной фильтрации. Идентификатор 6006 означает корректное завершение работы. Идентификатор 6008 указывает на некорректное или внезапное завершение работы.

Полезно: в Диспетчере задач на вкладке Производительность видно время работы системы с момента последней загрузки. Откройте Диспетчер задач через правый клик на панели задач и перейдите на вкладку Производительность, там внизу отображается Up time.

2. Shutdown Logger

Если нужен узконаправленный, простой журнал только для выключений, подойдет Shutdown Logger. Это сервис, который записывает только события завершения работы в текстовые файлы. Плюсы:

• Простой формат логов, легко анализировать и скриптовать.
• Минимум настроек, низкая нагрузка на систему.

Как работает:

• Установите Shutdown Logger и запустите службу.
• Программа фиксирует штатные завершения работы и сохраняет записи в папке C:\ShutdownLoggerSvc\Logs.

Совет: скачивайте программы с официальной страницы проекта или доверенных репозиториев. Проверяйте цифровые подписи, если это критично для инфраструктуры.

3. TurnedOnTimesView

TurnedOnTimesView — портативная утилита, не требующая установки. Она считывает системные записи и отображает историю включений и выключений в удобной таблице. Плюсы:

• Не требует установки и фонового сервиса.
• Показывает события сна и гибернации, если они есть.
• Полезна при быстром осмотре за несколько недель.

Минусы: при необходимости долгосрочного хранения или централизованного аудита лучше использовать логи и центральные решения.

Сравнение инструментов

• Просмотр событий: самый полный и официальный источник. Подходит для расследований и соответствия требованиям безопасности.
• Shutdown Logger: простой и удобный для локального аудита выключений. Логи в виде текста легко переносить и агрегировать.
• TurnedOnTimesView: быстрое единичное средство для визуализации истории включений и выключений без установки.

Краткая справка: важные идентификаторы событий

• 6005 — служба журнала событий запущена, соответствует загрузке системы.
• 6006 — служба журнала событий остановлена, корректное завершение работы.
• 6008 — внезапное завершение работы, указывает на крах или отключение питания.

Руководство администратора — чеклист аудита

1. Соберите требования: період хранения логов, кто имеет доступ, формат отчётов.
2. Проверьте локальные журналы в Event Viewer на всех критичных станциях/серверов.
3. Установите централизованный сбор логов, если требуется массовый аудит.
4. Настройте ротацию и резервное копирование логов.
5. Настройте уведомления на события 6008 и повторяющиеся 6006 в нерабочее время.
6. Задокументируйте процедуру и права доступа.

Как выбрать инструмент

flowchart TD
  A[Нужно быстро посмотреть локально?] -->|Да| B[TurnedOnTimesView]
  A -->|Нет| C[Нужно централизованно и длительно хранить?]
  C -->|Да| D[Event Viewer + SIEM/централизованный сбор]
  C -->|Нет, нужна простота| E[Shutdown Logger]

Конфиденциальность и доступ

Логи содержат временные метки и иногда имена учётных записей. Ограничьте доступ к логам и настройте период хранения в соответствии с политикой конфиденциальности и локальным законодательством. В корпоративной среде рассмотрите принцип наименьших привилегий при доступе к журналам.

Важно: хранение логов длительное время увеличивает риск утечки. Регулярно очищайте и архивируйте записи, если это оправдано операционно.

Критерии приёмки

• Журналы содержат записи о завершениях работы за оговорённый период.
• Имеется способ идентифицировать тип завершения работы: корректное или некорректное.
• Доступ к логам ограничен согласно политике.
• При необходимости доступны централизованные отчёты по группе машин.

Примеры отказов и ограничения

• Если машина отключена от сети и не отправляет логи централизованно, локальные журналы будут единственным источником.
• Портативные утилиты не подходят для долгосрочного централизованного хранения без доработок.
• Некоторые виртуальные среды или специальные сборочные образы могут не сохранять привычные идентификаторы событий.

Итоги

Используйте Просмотр событий для надёжного и исчерпывающего аудита. Для простоты городских задач подходят Shutdown Logger и TurnedOnTimesView. Администраторам рекомендуется комбинировать методы: встроенные журналы для точности и сторонние утилиты для удобства и фильтрации.

Понравилась статья или есть свои приёмы мониторинга и обслуживания? Расскажите в комментариях.

СВЯЗАННЫЕ СТАТЬИ, КОТОРЫЕ СТОИТ ПРОЧИТАТЬ:

• Как получить доступ к неизвестным расширениям файлов в Windows 10/8/7
• В чем риски использования пиратской Windows 10
• Как отключить учётную запись Microsoft To-Do