Как узнать, когда компьютер включали и выключали, какие программы запускали и какие файлы открывали.
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Как узнать
Какие программы
История браузера
Удаленные файлы и корзина
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Windows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.
В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.
Просмотр событий Windows
Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
- В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
- Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце).
- Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее).
События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.
Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:
- 41 — перезагрузка или выключение без правильного завершения работы.
- 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
- 6008 — при неправильном выключении компьютера.
Получение информации в командной строке и PowerShell
Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.
В первом случае: запустите командную строку от имени администратора, а затем используйте команду
wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1
Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить.
В PowerShell от имени администратора можно использовать следующую команду:
Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем.
Бесплатная утилита TurnedOnTimesView
Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.
Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:
- Дата и время включения (Startup Time)
- Дата и время выключения (Shutdown Time)
- Продолжительность работы (Duration)
- Причина выключения
- Тип выключения
И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.
Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:
Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.
Все способы:
- Способы узнать, когда включался компьютер
- Способ 1: Командная строка
- Способ 2: Журнал событий
- Способ 3: Локальные групповые политики
- Способ 4: Реестр
- Способ 5: TurnedOnTimesView
- Вопросы и ответы: 3
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто.
Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd.
- Ввести в строке команду
systeminfo.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».
Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.
Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc.
- После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:
Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit.
- Перейти к разделу
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System - С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows.
- Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.
По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.
Наша группа в TelegramПолезные советы и помощь
Если к вашему компьютеру имеют доступ другие люди – члены семьи дома или сотрудники на работе, возможно, в какой-то момент вы захотите узнать, пользовались ли компьютером в ваше отсутствие и если да, то когда именно он включался. Ну что же, сделать это нетрудно, все и вся поведает сама Windows, главное, правильно ее об этом попросить.
Начнем наш опрос с просмотра журнала событий, в который система сохраняет все более или менее значимые события, в число коих входит и включение ПК, точнее, запуск базовых служб Windows. В данном примере в качестве метки мы предлагаем использовать службу EventLog. Откройте сам журнал командой eventvwr и перейдите в раздел «Журналы Windows» → «Система». Нажмите в правой колонке «Фильтр текущего журнала» и отфильтруйте записи по коду события 6005.
Предпоследние событие с кодом 6005 и текстовой меткой «Служба журнала событий была запущена» будет соответствовать включению компьютера. Останется только сопоставить дату и время события с датой и временем включения ПК лично вами.
С тем же успехом вместо записи EventLog с кодом 6005 можно использовать запись Kernel-General с кодом 12 и уровнем «Сведения».
Кстати, записи с кодом 6005 и 12 (Kernel-General) заносятся в журнал независимо от того, вошел ли пользователь в учетную запись или нет, если вы хотите узнать, имел ли место вход в систему, ищите в том же разделе журнала событие с кодом 7001 и источником Winlogon.
Еще одним способом узнать, включали ли компьютер без вашего ведома, когда и с какой учетной записью выполнялся вход, и был ли вход успешным, является использование специальной политики аудита. Правда, эта политика должна быть включена заранее, а не тогда, когда вам внезапно придет в голову мысль проверить ПК на предмет его использования другими людьми.
Откройте редактор локальных групповых политик командой gpedit.msc и перейдите в раздел «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Параметры входа Windows».
Откройте настройки политики двойным по ней кликом, активируйте радиокнопку «Включено», сохраните настройки и перезагрузите компьютер.
Отныне при каждой следующей загрузке станет отображаться информация о предыдущем входе в систему, в частности имя пользователя и точное время входа.
В Windows Home редактор локальных политик отключен, поэтому для активации настройки придется использовать редактор реестра. Открыв последний командой regedit, разверните ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, создайте в правой колонке параметр типа DWORD с именем DisplayLastLogonInfo и установите в качестве его значения 1. Перезагрузите компьютер.
Существуют также и сторонние инструменты получения сведений о включении и выключении компьютера, например, утилита TurnedOnTimesView. В качестве источника информации эта маленькая портативная программа использует системный журнал событий, извлекая из него записи двух типов – включения и выключения ПК. TurnedOnTimesView показывает дату и время включения и выключения, длительность последней рабочей сессии, причину, тип и код завершения работы, а также имя компьютера.
Пользоваться инструментом проще простого – соответствующие запуску маркированные записи располагаются в первой же колонке таблицы. Желтым маркируется последние включение, зеленым – предпоследнее, если же предыдущее завершение работы ПК было некорректным, запись предыдущего входа будет маркирована красным цветом.
Имеются ли еще какие-то способы узнать, когда включался компьютер? Да, например, можно создать скрипт, который станет отправлять сообщение на электронную почту всякий раз, когда кто-то войдет в учетную запись. Можно включить аудит входа в систему, можно использовать кейлогеры и прочее шпионское ПО, единственное, с чем могут возникнут проблемы – это загрузка компьютера с LiveCD – определить, включали ли ПК при таком сценарии будет весьма проблематично, разве что в BIOS/UEFI вашего компьютера отыщется функция регистрации подачи питания на ключевые компоненты материнской платы.
Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.
Когда включали компьютер — как посмотреть?Polerol 12 лет назад
alexm 12 лет назад Правой кнопкой мыши на «Мой компьютер» — Управление — Служебные программы — Просмотр событий — Система. Искать в журнале запись «Запущена служба журнала событий», означающую запуск ОС. Это для поделия от Microsoft. автор вопроса выбрал этот ответ лучшим комментировать
в избранное
ссылка
отблагодарить kazah 12 лет назад В панели администрирования, события. Там все по датам, какие программы, какие ошибки, когда запущен был компьютер. Там все понятно и есть программа SpyGhost она тоже покажет кто что делал за компьютером. комментировать
в избранное
ссылка
отблагодарить Матве 11 лет назад Посмотреть, когда включали компьютер, можно с помощью журналов, которые ведет сама операционная система. Чтобы посмотреть, когда включали компьютер, нужно войти в Панель управления, далее – в Администрирование. 
На панели Администрирования нужно выбрать пункт Просмотр событий. В меню просмотра нужно выбрать Журналы Windows – Система. 
Журнал системы показывает все события, происходящие с компьютером, в том числе время включения компьютера и загрузки системы. комментировать
в избранное
ссылка
отблагодарить SVFE4 8 лет назад Жмете на кнопку пуск в нижнем левом углу монитора, в открывшейся вкладке выбираете панель управления, далее в открывшемся окне нажимаете на надпись «Система и безопасность». Находите слово «администрирование» и нажимаете на него, в открывшемся окне запускаете ярлык просмотр событий. В просмотре событий жмете журналы windows (слева), после система. Там вы найдете время включения компьютера. комментировать
в избранное
ссылка
отблагодарить Знаете ответ? |