¿Cómo decodifico la "hora de inicio de la aplicación con errores" en una entrada del registro de eventos de Windows?

6

Una aplicación que estaba ejecutando se bloqueó y quería saber cuándo sucedió, así que abrí el visor de eventos de Windows y busqué una entrada. Encontré la entrada, y luego noté que uno de los detalles de la entrada es este: 

Faulting application start time: 0x01ccfe1e3e206d42

Genial, pensé, porque también quería saber cuánto tiempo se estaba ejecutando la aplicación. ¿Cómo descifro esa cadena de hex y la convierto en una fecha y hora?

windows time event-log event-viewer raven
fuente

Respuestas:

2

  1. En Potencia Shell Podrías emitir el siguiente comando: 

    get-date 0x01ccfe1e3e206d42

    reemplazar 0x01ccfe1e3e206d42 con el valor que encontraste en tu registro de eventos.

  2. Alternativamente, usted podría cambiar a la Pestaña de detalles de las propiedades del evento donde encontrará CreationTime en un formato legible por humanos. P.ej. 2012-01-12T13: 33: 38.171Z

jon Z
fuente
El método 1 es incorrecto, el lapso de tiempo es de 1601 años. En el método 2, "CreationTime" es la hora en que se registra el evento, pero a la hora de Utc, no es la hora de inicio de la aplicación, la hora en que se registra la cita se muestra en la columna "Fecha y hora", medida en la hora local .
zhaorufei
2

En Powershell, ejecute el siguiente comando, reemplazando la secuencia hexadecimal: 

[datetime]::FromFileTime(0x01ccfe1e3e206d42)

9 March 2012, 19:58:33

La respuesta está en la hora local, para hacer coincidir los horarios en el Visor de eventos (aquí en Finlandia estamos a 2 horas al este de la UTC en marzo). Para mostrarlo en tiempo UTC, agregue UTC al nombre del método: 

[datetime]::FromFileTimeUTC(0x01ccfe1e3e206d42)

9 March 2012, 17:58:33
stevek_mcc
fuente