PowerShell-使用powershell查找電腦開關機狀況
目錄
說明
Event id 6005 說明了Event log開始紀錄,也代表了開機時間,6006為Event Log停止記錄,也代表了關機時間
Get-EventLog -LogName System |? {$\_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
如果要存到特定檔案,可在後面加入>來進行輸出
Get-EventLog -LogName System |? {$\_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap > log.log
也可以使用 event id 27 來確認 boot time
Get-WinEvent -ProviderName Microsoft-Windows-Kernel-boot -MaxEvents 10 | Where-Object {$_.message -like “The boot type*”}
或是
Get-WinEvent -ProviderName Microsoft-Windows-Kernel-boot -MaxEvents 10 | Where-Object {$_.id -like “27”}
其他方式
可以使用nirsoft的工具,TurnedOnTimesView ,來查找開關機狀態。
https://www.nirsoft.net/utils/computer_turned_on_times.html