Как узнать, когда компьютер включали и выключали, какие программы запускали и какие файлы открывали.
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Windows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.
В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.
Просмотр событий Windows
Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
- В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
- Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце).
- Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее).
События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.
Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:
- 41 — перезагрузка или выключение без правильного завершения работы.
- 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
- 6008 — при неправильном выключении компьютера.
Получение информации в командной строке и PowerShell
Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.
В первом случае: запустите командную строку от имени администратора, а затем используйте команду
wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1
Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить.
В PowerShell от имени администратора можно использовать следующую команду:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем.
Бесплатная утилита TurnedOnTimesView
Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.
Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:
- Дата и время включения (Startup Time)
- Дата и время выключения (Shutdown Time)
- Продолжительность работы (Duration)
- Причина выключения
- Тип выключения
И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.
Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:
Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.
Все способы:
- Способы узнать, когда включался компьютер
- Способ 1: Командная строка
- Способ 2: Журнал событий
- Способ 3: Локальные групповые политики
- Способ 4: Реестр
- Способ 5: TurnedOnTimesView
- Вопросы и ответы: 3
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто.
Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd.
- Ввести в строке команду
systeminfo.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».
Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.
Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc.
- После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:
Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit.
- Перейти к разделу
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System - С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows.
- Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.
По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.
Наша группа в TelegramПолезные советы и помощь
Quick Answer
- Whether you’re a system administrator or trying to figure out how to fix a Windows problem, details about your system activity can significantly help you analyze the issue better.
- A quick review of your Windows PC’s startup and shutdown history can help you answer questions such as why your system got shut down unexpectedly or when it was used recently.
- Type 6005 and 6006 in the Event ID column and hit OK to view the startup and shutdown history, respectively.
Whether you’re a system administrator or trying to figure out how to fix a Windows problem, details about your system activity can significantly help you analyze the issue better. Consequently, your system’s startup and shutdown history can help you unravel underlying issues or identify what went wrong. Keeping this in mind, this article discusses several methods to check the startup and shutdown history on a Windows PC. Additionally, you can check the model and specs of your Windows laptop to learn more technical details about it.
How Windows Startup and Shutdown History Can Be Helpful?
A quick review of your Windows PC’s startup and shutdown history can help you answer questions such as why your system got shut down unexpectedly or when it was used recently. In addition, it can serve you with the following advantages:
- Identify and fix existing system errors causing boot loops, crashes, and force shutdowns.
- It can help you check the activity status for a certain time and whether you share it with other users.
- It helps you ensure your system’s security.
Windows System Events Identifiers
Microsoft Windows stores all system activities in an event log, where an event ID represents each activity. To help you understand and identify these events better, have a look at these details:
- Event ID 41: Indicates that your system rebooted without shutting down completely.
- Event ID 1074: This event is logged when you initiate Shutdown using the Start Menu or an application force restarts/shuts down your Windows system.
- Event ID 1076: Provides more details on why your system was shut down or restarted.
- Event ID 6005: This event ID signifies a system startup.
- Event ID 6006: This indicates that your system was shut down properly.
- Event ID 6008: This event indicates that your system shut down unexpectedly.
- Event ID 6013: Shows your system uptime (in seconds).
How to Check Startup and Shutdown History on Windows?
Now that you’re familiar with various system event IDs, let’s look at different methods to extract and check the startup/shutdown history on Windows.
Method 1 – Using Windows PowerShell
Windows PowerShell is a remarkable command-line tool for system administration. You can use it to extract EventID and all the necessary details for startup and shutdown to spot ongoing issues and system abnormalities. Here is what you need to do:
1. Press the Windows key and search for PowerShell to open it with administrative permissions.
2. Copy-Paste the following command and hit the Enter key.
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
3. The following command will provide detailed information on the specified event codes, organized into three columns: Time Generated, EventID, and Message.
Method 2 – Using Command Prompt
Besides PowerShell, you can use the Command Prompt tool to check the most recent startup and shutdown history on Windows. This is helpful when you don’t wish to browse the entire log but only require the most recent activity.
1. Open the Command Prompt tool with elevated privileges.
2. Copy-Paste the following command and execute it with the Enter key.
wevtutil qe system “/q:*[System [(EventID=6006)]]” /rd:true /f:text /c:1
3. The tool will instantly show the most recent shutdown activity. To view the most recent startup activity, replace the EventID with 6005 in the above command and execute it.
Method 3 – Use the Windows Event Viewer Tool to Check the Startup and Shutdown History
The Event Viewer is a core part of Microsoft Windows that records every activity as a system log. Consequently, you can browse this log and filter the recorded results to check the startup and shutdown history. Here’s how it can be done:
1. Press the Windows key and open the Event Viewer tool as an administrator.
2. Expand Windows Logs from the left sidebar and double-click System to view associated logs.
3. Click Filter Current Log from the right sidebar.
4. Type 6005 and 6006 in the Event ID column and hit OK to view the startup and shutdown history, respectively.
5. Double-click an event log to view the associated details in the search result.
Method 4 – Using Free Third-Party Tools
In addition to native system tools, you can try several free third-party apps to check the startup and shutdown history on Windows. The TurnedOnTimesView and MyEventViewer from Nirsoft are two popular tools in the domain. Follow these steps to make the most out of them:
1. Download the TurnedOnTimesView app from Nirsoft and extract the downloaded package.
2. Double-click TurnedOnTimesView.exe in the extracted folder to launch the app.
3. It will show all startup and shutdown system logs in seconds.
4. Double-click the log file to view more details about it.
5. Similarly, you can download the MyEventViewer tool from Nirsoft for similar results.
6. You can also apply several EventType filters to the results to customize the system logs for easy viewing.
FAQs
Q. How to See My PC Startup and Shutdown History in Windows 10/11?
You can use EventViewer or Windows PowerShell to get a detailed history report of your system’s startup and shutdown process. In addition, free third-party tools like TurnedOnTimesView and MyEventViewer can also help you fetch the exact results.
Q. Why Did My Windows PC Shut Down Automatically?
There are numerous reasons behind a Windows PC shutting down automatically. It can be due to overheating, hardware, or a software glitch. Moreover, some apps force the restart on a Windows PC automatically after installation.
Q. How to Check When a Windows Computer Was Last Used?
You can use the command prompt to check the most recent use of your Windows PC. Replace the EventID with 6005 in the above-listed command and execute to view the most recent startup. Similarly, you can use Event ID 6006 to get details of the recent shutdown.
Q. How to Check Windows Reboot History Using Powershell?
Unlike Command Prompt, Windows PowerShell provides a detailed reboot history report instead of displaying the most recent one. Execute the following command to check the reboot history of Windows.
Get-EventLog -LogName System |? {$_.EventID -in (41,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
Q. What Is the CMD Command to Check Windows Reboot History?
The CMD command to check the most recent startup/reboot history on Windows is:
wevtutil qe system “/q:*[System [(EventID=6005)]]” /rd:true /f:text /c:1
Q. What Are Various Windows Startup Event IDs?
Each event ID in Windows represents a specific activity. For example, Event ID 6005 indicates a system startup, while 6006 signifies that your system had a proper shutdown. For more details on Event IDs, check Identify System Events section listed above.
Final Words
This brings us to the end of this guide, where we discussed all the nifty methods to check the system’s startup and shutdown details on Windows. If you found it useful, spread the word with your friends and subscribe to GadgetsToUse for more interesting explainers. Meanwhile, don’t forget to check other help links related to Windows 11 and 10.
You might be looking for:
- 2 Ways to Add an Extra Taskbar to Windows 11/10
- 8 Ways to Force Quit Apps on Windows
- 7 Ways to Resize Icons on Windows 11 and 10
- 11 Ways to Disable All Advertisements on Windows PC
You can also follow us for instant tech news at Google News or for tips and tricks, smartphones & gadgets reviews, join GadgetsToUse Telegram Group, or for the latest review videos subscribe GadgetsToUse Youtube Channel.
Was this article helpful?
YesNo
-
Home
-
News
- How to Check Computer Login History on Windows 10/11?
By Stella | Follow |
Last Updated
You may want to know who has logged into your computer and when. But do you know how to check it? To help you do this, MiniTool Software shows you a full guide on how to check computer login history on Windows 10/11. If you are running Windows 8/8.1 or Windows 7, this guide is also available.
Tip: If you are looking for a free file recovery tool, you can try MiniTool Power Data Recovery. This software can help you recover all kinds of files from hard drives, SD cards, memory cards, SSDs, and more, as long as the files are not overwritten by new data.
MiniTool Power Data Recovery TrialClick to Download100%Clean & Safe
Sometimes you may feel that someone is logged into your computer, but you are not sure. Well then, is it possible to check if someone logged into your Windows computer? Of course, yes. Windows 10/11 has an Audit logon events policy that allows you to view login history on Windows 10/11. However, this policy is not enabled by default on your device. So, you need to manually enable it. Then you can see the Windows login log to know which has logged into your PC.
How to Check Computer Login History on Windows 10/11?
Step 1: Enable Audit Logon Events on Windows 10/11
Tip: You need to enable Audit logon events using Local Group Policy, which is available in Windows 10/11 Pro or more advanced versions. If you are running Windows 10/11 Home, the thing is different because this feature is enabled by default on your computer. So, you can just skip to the next step to view login history on Windows 10/11.
The following guide is based on Windows 11. If you are running Windows 10, the steps are the same.
- Click the search bar from the taskbar and search for gpedit.msc.
- Click the first result to open Local Group Policy Editor.
- Go to this path: Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.
- Find Audit logon events from the right panel. Then, double-click it to open Properties.
- Check both Success and Failure under Local Security Setting.
- Click Apply.
- Click OK.
After these steps, your Windows computer will begin to track the login attempts no matter it is successful or not.
Tip: If you don’t want to track the login history, you can uncheck Success and Failure in step 5.
Step 2: Find out Who Is Logged into Your Computer
You can use the Event Viewer to check who is logged into your computer and when. Here is a guide on how to find out who is logged into your computer:
- Right-click Start and select Event Viewer.
- Go to Windows Logs > Security.
- Find the 4624 event ID and double-click it to open it.
- Under the General section, check the Account Name. It is the account who have logged into your device. You can see when that account was logged in the computer under Logged.
After clicking Security, you can see that there are many logon reports. It may take some time to find your needed log. Fortunately, you can use the filter feature of Event Viewer to make the task easier.
1. Right-click Custom Views and click Create Custom View.
2. Under the Filter section, you need to:
- Select a time range for Logged.
- Select By log and then select Security under Windows logs for Event logs.
- Type 4624 in the All Event IDs box.
3. Click OK to save the changes.
Now, you can easily find the Windows 10/11 login history.
About The Author
Position: Columnist
Stella has been working in MiniTool Software as an English Editor for more than 8 years. Her articles mainly cover the fields of data recovery including storage media data recovery, phone data recovery, and photo recovery, videos download, partition management, and video & audio format conversions.