Windows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.
В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.
Просмотр событий Windows
Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
- В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
- Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце).
- Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее).
События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.
Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:
- 41 — перезагрузка или выключение без правильного завершения работы.
- 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
- 6008 — при неправильном выключении компьютера.
Получение информации в командной строке и PowerShell
Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.
В первом случае: запустите командную строку от имени администратора, а затем используйте команду
wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1
Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить.
В PowerShell от имени администратора можно использовать следующую команду:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем.
Бесплатная утилита TurnedOnTimesView
Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.
Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:
- Дата и время включения (Startup Time)
- Дата и время выключения (Shutdown Time)
- Продолжительность работы (Duration)
- Причина выключения
- Тип выключения
И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.
Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:
Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.
1268368
Очень много пользователей, которые обновились, или просто установили Windows 10, столкнулись с проблемами в работе Wi-Fi. У кого-то ноутбук вообще не видит беспроводного адаптера, не отображаются доступные для подключения сети, возникают проблемы при подключении к Wi-Fi. А если все подключается, то может возникнуть проблема «Подключение ограничено», когда интерн просто не работает.
И практически во всех этих случаях, причина только одна: драйвер беспроводного Wi-Fi адаптера. Либо он не установлен вообще, либо установлен, но работает неправильно. Windows 10 как правило уже сама устанавливает драйвер на Wi-Fi адаптер, но этот драйвер не всегда работает так как нужно. А производители ноутбуков и Wireless адаптеров еще не все выпустили новые драйвера для своих моделей. Да и Windows 10 все время обновляется, а проблемы появляются обычно после этих обновлений (судя по комментариям к статьям на этом сайте).
Так вот, практически все проблемы и ошибки и-за драйвера. Драйвер дает команды системе как правильно «общаться» с железом. В нашем случае с беспроводным адаптером. И если сам адаптер и Windows 10 не очень понимают друг друга, то у нас на компьютере появляются проблемы в работе интернета при подключении по Wi-Fi. Поэтому, первым делом нужно проверять и экспериментировать с драйвером беспроводного адаптера.
Мы рассмотрим случаи, когда драйвер все же установлен (возможно, самой Windows 10), но появляются проблемы с Wi-Fi. Либо, не получается подключится к беспроводной сети по стандартной схеме, которая описана в этой статье.
Замена драйвера Wi-Fi адаптера в Windows 10
Как правило, при каких-то проблемах, переустановка (обновление) драйвера не помогает. В любом случае, вы можете попробовать скачать новый драйвер для вашей модели с официального сайта производителя ноутбука (адаптера), и установить его. При возникновении каких-либо проблем, это нужно делать первым делом. Еще, есть возможно выбрать один из нескольких установленных в системе драйверов. Что мы сейчас и попробуем сделать.
Что бы открыть Диспетчер устройств, нажмите на кнопку поиска, и введите «диспетчер устройств». В результатах поиска нажимаем на сам диспетчер. Вот так:
Дальше, в самом диспетчере устройств находим вкладку «Сетевые адаптеры». Там должен быть ваш беспроводной адаптер. В его названии будут слова «Wi-Fi», или «Wireless». Если такого адаптера там нет, то значит он не установлен вообще. Нужно установить. У меня адаптер Qualcomm Atheros, поэтому и драйвер так называется. У вас же может быть другое название (Intel, Broadcom).
Возле адаптера беспроводной сети, может быть желтый восклицательный знак. Нажмите на сам адаптер правой кнопкой мыши, и выберите Обновить драйверы.
Выберите пункт Выполнить поиск драйверов на этом компьютере.
Нажимаем на Выбрать драйвер из списка уже установленных драйверов.
Теперь внимание, в окне у вас должно быть несколько вариантов драйверов (у меня 2). Выделяем тот, который на данный момент не установлен. Который отличается от того, который в диспетчере устройств. Получается, что мы пробуем другой вариант драйвера. Выделяем его, и нажимаем Далее.
Нужный драйвер будет установлен. Теперь, перезагружаем компьютер, и тестируем работу Wi-Fi. Если не помогло, и есть еще другие варианты драйверов, то делаем все еще раз, только в списке выбираем уже другой драйвер. Думаю, смысл этих действий понятен. Помню в Windows 8, этот способ помогла решить проблему с подключением без доступа к интернету (ограничено).
Удаляем драйвер беспроводного адаптера
В этом нет ничего страшного. Если способ описанный выше не помог решить вашу проблему, например с статусом «Подключение ограничено», то можно попробовать удалить драйвер Wireless в диспетчере устройств.
Зайдите в диспетчер устройств, как я показывал выше. Нажмите правой кнопкой мыши на наш беспроводной адаптер и выберите Удалить.
Появится предупреждение. Нажимаем Ok.
После его перезагружаем компьютер. Драйвер снова будет установлен автоматически.
Пробуем откатить драйвер беспроводного адаптера в Windows 10
Откатить драйвер – еще один способ заставить Wi-Fi работать стабильно, или хотя бы просто работать :). Никаких гарантий что поможет, но если уже ничего не помогает, то попробовать стоит. Все в том же диспетчере устройств нажимаем правой кнопкой мыши на все тот же Wi-Fi адаптер. И выбираем в меню Свойства.
Переходим на вкладку Драйвер, и нажимаем кнопку Откатить. Может быть такое, что кнопка откатить не активна. Здесь уже ничего не сделать, значит нет в системе более старого драйвера.
Появится сообщение о том, что откат к более старой версии драйвера может понизить функциональность, и все такое. Нажимаем Да.
Перезагружаем ноутбук, и проверяем как работает Wi-Fi.
Вот такие советы. Если узнаю что-то новое по этой теме, обязательно обновлю статью. Если у вас есть полезная информация по решению проблем с работой Wi-Fi в Windows 10, то можете поделится в комментариях.
Из журнала событий Windows можно получить логи установки, обновления и удаления программ, а также определить конкретного пользователя, который запустил установку или удаление приложения.
Для просмотра журнала установки приложений:
- Откройте консоль журнала событий Event Viewer (
eventvwr.msc
) - Перейдите в раздел Windows Logs -> Application
- Щелкните правой кнопкой по журналу и включите фильтр (Filter current log)
- В качестве источника событий выберите
MsiInstaller
.
События с EventID 11707 содержат информацию об успешной установке программы (
Installation completed successfully
).
EventID 11724 – события успешного удаления пакета (
Removal completed successfully
).
В этом журнале будут фиксироваться только события установки приложений, упакованных в MSI/MSP пакеты (или в EXE файлы, которые фактически запускают установку MSI пакета с помощью
msiexec.exe
). Для установки MSI пакетов используется служба установки Windows Installer (
msiserver
), которая позволяет выполнить корректную установку удаление или откат установки приложения. Некоторые приложения, распространяемые через EXE файлы не используют службу msiserver и соответственно не пишут такие события. - Если вы хотите определить, какой конкретно пользователь удалил или установил программу, перейдите на вкладку Details в свойствах события. Переключитесь в режим XML view. SID пользователя указан в значении атрибута Security UserID. Скопируйте его.
- Чтобы конвертировать SID пользователя в имя учетной записи, выполните команду:
wmic useraccount where sid='S-1-5-21-506968642-4209078585-1781862235-1001' get name
Команда вернет имя пользователя, который инициировал установку или удаление программы.
Если нужно извлечь события установки/удаления программ из журнала событий с помощью PoweShell, воспользуйтесь командлетом Get-WinEvent. Например, вывести журнал успешных установок программ:
Get-WinEvent -FilterHashtable @{LogName="Application";ID=11707;ProviderName='MsiInstaller'} | Select TimeCreated,Message
В Windows есть еще более удобный инструмент, который позволяет в одном окне показать историю установки/удаления/обновления программ, включай приложения Microsoft Store, а также историю установки обновлений Windows. Речь о Мониторе стабильности системы (Reliability Monitor).
Reliability Monitor – это отдельный апплет в классической панели управления Windows, который в графическом виде отображает индекс стабильности системы и подробные сведения о событиях, которые могли повлиять на стабильность ОС (сбои в программах, установка/удаление приложений и прочее).
Чтобы открыть Reliability Monitor, перейдите в панель управления -> Security and Maintenance, нажмите на ссылку View reliability history в разделе Maintenance (или просто выполните команду (
perfmon /rel
).
Здесь в разрезе по дням/неделям можно посмотреть какие обновления, программы и UWP приложения устанавливались или удалялись. Подробную информацию о событии можно получить, нажав на кнопку View technical retails.
Для построения отчетов об установке/удалении приложений из монитора стабильности можно использовать PowerShell. Следующий скрипт выведет в графическую таблицу Out-GridView все события установки, удаления и обновления программ, Windows Updates, APPX/MSIX на компьютере за последние
7
дней.
$DaysAgo = (Get-Date).AddDays(-7)
$RealiabilityFilter= "TimeGenerated > '$DaysAgo' and (SourceName='Microsoft-Windows-WindowsUpdateClient' or SourceName='MsiInstaller')"
Get-CimInstance -ClassName Win32_ReliabilityRecords -filter $RealiabilityFilter|Select TimeGenerated,ProductName,User,message |Out-GridView
С помощью встроенных фильтров Out-GridView можно отфильтровать все связанные события по конкретному приложению, определенному событию или пользователю.
Как узнать, когда компьютер включали и выключали, какие программы запускали и какие файлы открывали.
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Все способы:
- Способы узнать, когда включался компьютер
- Способ 1: Командная строка
- Способ 2: Журнал событий
- Способ 3: Локальные групповые политики
- Способ 4: Реестр
- Способ 5: TurnedOnTimesView
- Вопросы и ответы: 3
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто.
Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd.
- Ввести в строке команду
systeminfo.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».
Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.
Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc.
- После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:
Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit.
- Перейти к разделу
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System - С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows.
- Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.
По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.
Наша группа в TelegramПолезные советы и помощь