¿Cómo saber si Windows se estaba ejecutando en un momento dado?

En Windows (7/8/10), ¿hay alguna forma de averiguar si la computadora estaba funcionando en un momento dado? (por ejemplo, anoche a las 10 p.m. si la computadora estaba funcionando o apagada) gracias

Puede usar el Visor de eventos de Windows para hacer esto.

Para iniciar el Visor de eventos en Windows 7:

• Haga clic en el botón de inicio
• Haga clic en el panel de control
• Haga clic en Sistema y mantenimiento
• Haga clic en Herramientas administrativas
• Haga doble clic en Visor de eventos

En Windows 8 y 10 puede ejecutar el Visor de eventos con el acceso directo Windows Key+ X+ V. También puede abrirlo a través del menú Ejecutar. Es decir, presione Windows Key+ Rpara abrir el cuadro de diálogo Ejecutar, luego escriba eventvwr y haga clic en Aceptar.

Una vez que tenga abierto el Visor de eventos, siga estos pasos:

1. En el panel izquierdo, vaya a Registros de Windows> Sistema
2. En el panel derecho verá una lista de eventos que ocurrieron mientras Windows se estaba ejecutando
3. Haga clic en la etiqueta de Id. De evento para ordenar los datos por la columna Id. De evento
4. Es posible que su registro de eventos sea extremadamente largo, por lo que deberá crear un filtro.
5. Desde el panel Acciones en el lado derecho, haga clic en "Filtrar registro actual"
6. Escriba 6005, 6006 en el campo no marcado (vea la captura de pantalla a continuación):

7. Haga clic en Aceptar

Tenga en cuenta que el Visor de eventos puede tardar unos minutos en mostrar los registros filtrados.

En resumen:

ID de evento 6005 significa "El servicio de registro de eventos se inició" (es decir, hora de inicio).

ID de evento 6006 significa "El servicio de registro de eventos se detuvo" (es decir, el tiempo de apagado).

Si lo desea, también puede agregar el Id. De evento 6013 a su filtro; esto muestra el tiempo de actividad del sistema después del arranque.

Finalmente, si esto es algo que desea verificar regularmente, puede crear una vista personalizada para mostrar este registro filtrado. Las vistas personalizadas se encuentran en la parte superior izquierda del panel izquierdo del Visor de eventos de Windows. Al agregarlo allí, puede elegir seleccionarlo siempre que desee ver el registro.

Tenga en cuenta que los servicios no se detienen cuando la computadora se apaga, pero la Kernel-Powerfuente del evento menciona todas las transiciones de estado de energía. Para consultar el registro de eventos desde la línea de comandos, puede usar PowerShell.

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

En mi computadora portátil, eso produce una lista como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Curiosamente, a veces el tiempo en el evento 107 es incorrecto (esta computadora portátil pierde brevemente la noción del tiempo cuando se reanuda), pero los próximos eventos "firmware S3 veces" lo hacen bien.

Por supuesto, si la computadora se apaga inesperadamente, no obtendrá un evento en el momento exacto del apagado; la próxima Kernel-Powerserá cuando el sistema se dé cuenta de que se perdió la energía. Por lo tanto, un enfoque diferente sería encontrar el evento más reciente de cualquier tipo registrado antes del tiempo en cuestión.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Reemplazaría 10/19/2016 12:45 PMcon el tiempo que le interesaba. Elegí el registro de la aplicación para esta consulta porque generalmente es muy activo. Si el TimeCreatedevento producido es más de una hora más o menos antes de la hora que proporcionó, es probable que la computadora no esté funcionando completamente.

Vista del tiempo activado http://www.nirsoft.net/utils/computer_turned_on_times.html

Haz lo mismo y presenta una GUI para ti.

O, si solo quiere ver si hay un reinicio antes de su sesión actual. Es posible que desee verificar el tiempo de actividad.

net statistics server