工具介紹-TurnedOnTimesView-取得windows 開關機資訊
目錄
除了之前介紹使用powershell來抓取開關機資訊外,也可利用現成的工具來取得此資訊。
TUrnedOnTimesView透過windows event log來比對開關機資訊。
- EventID 41 (Microsoft-Windows-Kernel-Power): 系統重啟前未完整關機。 可能造成的原因包含系統未回應、系統crash,或是未預期的斷電。
- EventID 42 (Microsoft-Windows-Kernel-Power): 系統進入睡眠
- EventID 1 (Microsoft-Windows-Power-Troubleshooter): 系統從睡眠中開啟.
- EventID 1074 (USER32): The process xxx has initiated the xxx of computer xxx on behalf of user xxx for the following reason: xxx
- EventID 6005 (EventLog): 稽核記錄開始。
- EventID 6006 (EventLog): 稽核記錄停止。