“Conocimiento Problema>Solución de problemas de PC

¿Cómo puedo ver cuándo se cerró mi PC (Win10)?

2011/8/20
Puede usar el visor de eventos de Windows para ver cuándo se cerró su PC, se inició, se inició o quedó inactivo. Aquí está como:

1. Acceder al visor de eventos:

* Método 1 (búsqueda): Escriba "Visor de eventos" en la barra de búsqueda de Windows (junto al botón Inicio) y presione Entrar.

* Método 2 (panel de control): Abra el panel de control (busquelo o haga clic con el botón derecho en el botón de inicio), vaya a "Sistema y seguridad", luego "Herramientas administrativas" y luego haga doble clic en "Visor de eventos".

2. Encontrar eventos de cierre/inicio:

* Windows registra: En la ventana del visor de eventos, en el panel izquierdo, expanda "Windows Logs".

* Sistema: Haga clic en "Sistema". Este registro contiene eventos a nivel de sistema, incluidos eventos de arranque, cierre y hardware relacionados con el hardware.

3. Filtrando eventos (¡importantes! Hay muchos eventos en el registro del sistema):

* Registro de corriente de filtro ...: En el panel derecho, haga clic en "Filtro de registro actual ...". Esto abrirá la ventana "Filtro de registro actual" ".

* ID de evento: Use estas ID de evento para filtrar para eventos específicos de cierre y inicio:

* 6005: Se inició el servicio de registro de eventos. Esto generalmente significa un arranque/inicio (aunque * puede * también significa solo el servicio de registro de eventos reiniciado).

* 6006: El servicio de registro de eventos fue detenido. Esto generalmente indica un apagado adecuado.

* 6008: Se produjo un cierre inesperado. Esto es útil para encontrar bloqueos o cortes de energía que no permitieron que las ventanas se apagaran limpiamente.

* 41: Poder del núcleo. Un evento crítico que indica el sistema reiniciado sin un cierre limpio. A menudo relacionado con la pérdida de energía o un choque. (Mire el detalle 'BugcheckCode' en la pestaña Detalles para obtener información de bloqueo más específica).

* 1074: Registrado cuando una aplicación hace que el sistema reinicie o apague (por ejemplo, Windows Update). La entrada de registro generalmente contendrá el nombre de la aplicación que inició el cierre o el reinicio.

* Aplicando el filtro:

1. En la ventana "Filtro de registro actual", en el campo "ID de evento", ingrese los ID de evento que desea encontrar (por ejemplo, `6005,6006,6008,41,1074`). Separan múltiples ID con comas.

2. Haga clic en "Aceptar".

4. Revisión de los registros filtrados:

El panel de visor de eventos principales ahora solo mostrará eventos que coinciden con su filtro. Mire la columna "Fecha y hora" para ver cuándo ocurrieron los eventos.

* Interpretando los resultados:

* 6005 seguido de 6006: Esta secuencia indica un ciclo normal de arranque y apagado. Las marcas de tiempo le dirán la duración.

* 6008 o 41: Estos eventos sugieren un cierre anormal (bloqueo, falla de energía). Examine otros eventos aproximadamente al mismo tiempo para obtener pistas. Los 41 eventos a menudo tienen un `bugcheckcode` en la pestaña Detalles, lo que indica la razón del bloqueo.

* 1074: Consulte la pestaña Detalles de la aplicación que solicitó el reinicio o el cierre.

5. Encontrar el tiempo de inactividad:

Esto es más complejo y menos confiable utilizando el visor de eventos. El tiempo de inactividad no se registra directamente como un evento específico. Tendrá que inferirlo en función de la ausencia de otros eventos y la presencia de actividad del usuario (que tampoco se registra directamente en todos los casos).

* registro de seguridad (potencialmente): El `Security` log * podría * contener eventos de inicio de sesión y logrof (ID de evento 4624 para el inicio de sesión, 4634 para el logro), si la auditoría está habilitada. Si ve un evento de cierre de sesión, seguido de un período significativo sin otros eventos, eso * podría * indicar el tiempo de inactividad, especialmente si la computadora está configurada para bloquear después de un cierto período de inactividad. Sin embargo, este no es un método garantizado.

* Registro del sistema (indirectamente): Busque períodos en el registro `System` donde hay * muy pocos * eventos relacionados con la actividad del usuario o los procesos de aplicación. Esto es altamente subjetivo y propenso al error. Es difícil distinguir entre la verdadera ociosidad y los procesos de fondo que se ejecutan en silencio.

Consideraciones importantes para el tiempo de inactividad:

* Requisitos de auditoría: Es posible que deba habilitar la auditoría de eventos de inicio de sesión/logro en la política de seguridad local para que sea útil el registro 'Security'. Esto puede aumentar el tamaño del registro. (Busque "Política de seguridad local" en el menú Inicio). Navegue a 'Configuración de seguridad -> Políticas locales -> Política de auditoría`. Habilite "Eventos de inicio de sesión de auditoría" y "Eventos de logro de auditoría" (tanto éxito como fracaso).

* Configuración del sistema: La confiabilidad de usar el visor de eventos para el tiempo inactivo depende significativamente de cómo esté configurado el sistema. Si hay muchas tareas de fondo o procesos programados, será más difícil identificar períodos de inactividad genuina del usuario.

* Configuración de gestión de energía: La configuración de Windows Power Management (Sleep, Hibernate) puede complicar las cosas. Un período de inactividad podría conducir a que el sistema ingrese a un estado de sueño, que podría registrarse, pero no necesariamente significa que el usuario estuviera fuera.

* Herramientas de terceros: Para un seguimiento más preciso del tiempo de inactividad, considere usar herramientas de monitoreo de terceros. Estas herramientas están específicamente diseñadas para rastrear la actividad e inactividad del usuario y, a menudo, proporcionan informes más detallados. Sin embargo, incurrirán en una compensación de privacidad.

Escenario de ejemplo:

Supongamos que ve los siguientes eventos en el registro 'System` (después de filtrar para IDS 6005, 6006, 6008, 41, 1074):

* 08:00 am: ID de evento 6005 (Servicio de registro de eventos iniciado):probablemente un arranque.

* 05:00 pm: ID de evento 6006 (Servicio de registro de eventos detenido):probablemente un apagado normal.

Esto sugiere que la computadora fue encendida y en uso (al menos intermitentemente) entre las 8:00 a.m. y las 5:00 p.m. Si desea saber si estaba inactivo durante algún tiempo durante esas 9 horas, necesitaría examinar los eventos * entre * esos dos eventos e intentar inferir la actividad de los eventos registrados. Como se explicó anteriormente, eso es difícil y poco confiable.

En resumen:

* Use el visor de eventos para encontrar fácilmente paradas y startups.

* Sea * muy * cauteloso al confiar en el visor de eventos para un seguimiento preciso de tiempo inactivo. Las herramientas de terceros son generalmente más adecuadas para este propósito.

Página anterior:
Página siguiente:
Solución de problemas de PC
¿Puede Comcast o cualquier ISP ver su historial de navegación?
Cómo encontrar gusanos en Mi PC
¿Qué hacer si alguien está bloqueando la computadora
Cómo reproducir archivos AAC en Windows Media Player
Cómo arrojar gente a las bestias de pandillas
¿Puedes empezar de nuevo con TurboTax?
Guiding Tech:artículos prácticos, guías de compra de dispositivos, listas de tecnología
¿Qué proceso está escuchando en un puerto determinado en Linux
Los últimos artículos de equipo
Artículos de la popular computadora
Más categorías
Conocimiento de la computadora © http://www.ordenador.online