目錄

工具介紹-TurnedOnTimesView-取得windows 開關機資訊

目錄

除了之前介紹使用powershell來抓取開關機資訊外,也可利用現成的工具來取得此資訊。

TUrnedOnTimesView透過windows event log來比對開關機資訊。

  • EventID 41 (Microsoft-Windows-Kernel-Power): 系統重啟前未完整關機。 可能造成的原因包含系統未回應、系統crash,或是未預期的斷電。
  • EventID 42 (Microsoft-Windows-Kernel-Power): 系統進入睡眠
  • EventID 1 (Microsoft-Windows-Power-Troubleshooter): 系統從睡眠中開啟.
  • EventID 1074 (USER32): The process xxx has initiated the xxx of computer xxx on behalf of user xxx for the following reason: xxx
  • EventID 6005 (EventLog): 稽核記錄開始。
  • EventID 6006 (EventLog): 稽核記錄停止。

參考連結