On aikoja, jolloin käyttäjä haluaa tietää tietokoneen käynnistys- ja sammutushistorian. Enimmäkseen järjestelmänvalvojien on tiedettävä historiasta vianmääritystarkoituksiin. Jos tietokonetta käyttää useita ihmisiä, voi olla hyvä turvatoimenpide tarkistaa tietokoneen käynnistys- ja sammutusajat varmistaaksesi, että tietokonetta käytetään laillisesti. Tässä artikkelissa käsitellään kahta tapaa seurata tietokoneen sammutus- ja käynnistysaikoja.
Tapahtumalokien käyttäminen käynnistys- ja sammutusaikojen purkamiseen
Windows Event Viewer on hieno työkalu, joka tallentaa kaikenlaisia asioita, joita tietokoneessa tapahtuu. Jokaisen tapahtuman aikana tapahtumien katseluohjelma kirjaa merkinnän. Tapahtumien katseluohjelmaa hoitaa tapahtumalogi-palvelu, jota ei voi pysäyttää tai poistaa käytöstä manuaalisesti, koska se on Windowsin ydinpalvelu. Tapahtumien katseluohjelma kirjaa myös tapahtumalokin palvelun aloitus- ja lopetusajat. Voimme käyttää noita aikoja saadaksemme kuvan siitä, milloin tietokoneemme käynnistettiin tai sammutettiin.
Eventlog-palvelun tapahtumat kirjataan kahdella tapahtumakoodilla. Tapahtuman tunnus 6005 osoittaa, että tapahtumaloki-palvelu aloitettiin, ja tapahtuman tunnus 6009 osoittaa, että tapahtumalokin palvelut lopetettiin. Käydään läpi koko prosessi, jolla nämä tiedot puretaan tapahtumien katseluohjelmasta.
1. Avaa Event Viewer (paina Voittaa + R ja tyyppi eventvwr).
2. Avaa vasemmassa ruudussa Windows-lokit -> Järjestelmä.
3. Keskiruudusta saat luettelon tapahtumista, jotka tapahtuivat Windowsin ollessa käynnissä. Haluamme nähdä vain kolme tapahtumaa. Lajitellaan ensin tapahtumaloki tapahtuman tunnuksella. Napsauta Tapahtumatunniste-tunnistetta lajitellaksesi tiedot Tapahtuman tunnus -sarakkeeseen nähden.
4. Jos tapahtumalokisi on valtava, lajittelu ei toimi. Voit myös luoda suodattimen oikean puolen toimintoruudusta. Napsauta vain ”Suodata nykyinen loki”.
5. Kirjoita Tapahtumatunnukset-kenttään 6005, 6006
- Tapahtuman tunnus 6005 merkitään nimellä ”Tapahtumalokipalvelu aloitettiin.” Tämä on synonyymi järjestelmän käynnistykselle.
- Tapahtuman tunnus 6006 merkitään nimellä ”Tapahtumalokipalvelu lopetettiin”. Tämä on synonyymi järjestelmän sammutukselle.
Jos haluat tutkia tapahtumalokia tarkemmin, voit käydä läpi tapahtuman tunnuksen 6013, joka näyttää tietokoneen käyttöajan, ja tapahtuman tunnus 6009 ilmaisee käynnistyksen aikana havaitut prosessoritiedot. Tapahtuman tunnus 6008 kertoo, että järjestelmä käynnistettiin sen jälkeen, kun sitä ei ollut suljettu oikein.
TurnedOnTimesView-toiminnon käyttäminen
TurnedOnTimesView on yksinkertainen, kannettava työkalu tapahtumalokin analysointiin käynnistys- ja sammutusaikojen osalta. Apuohjelmaa voidaan käyttää paikallisten tietokoneiden tai minkä tahansa verkkoon kytketyn etätietokoneen sammutus- ja käynnistysaikojen luettelon tarkasteluun. Koska se on kannettava työkalu, sinun tarvitsee vain purkaa ja suorittaa TurnedOnTimesView.exe-tiedosto. Siinä luetellaan välittömästi käynnistysaika, sammutusaika, käyttöajan kesto kunkin käynnistyksen ja sammutuksen välillä, sammutuksen syy ja sammutuskoodi.
Sammutus syy liittyy yleensä Windows Server-koneisiin, joissa meidän on annettava syy, jos sammutamme palvelimen.
Voit tarkastella etätietokoneen käynnistys- ja sammutusaikoja siirtymällä kohtaan ”Asetukset -> Lisäasetukset” ja valitsemalla ”Tietolähde etätietokoneena”. Määritä tietokoneen IP-osoite tai nimi Tietokoneen nimi -kenttään ja paina OK-painiketta. Nyt luettelossa näkyvät etätietokoneen tiedot.
Vaikka voit aina käyttää tapahtumien katseluohjelmaa käynnistys- ja sammutusaikojen yksityiskohtaiseen analysointiin, TurnedOnTimesView palvelee tarkoitusta hyvin yksinkertaisella käyttöliittymällä ja pisteisiin liittyvillä tiedoilla. Mihin tarkoitukseen seuraat tietokoneen käynnistys- ja sammutusaikoja? Mitä menetelmää haluat seurata?