电脑的关机日志通常记录在Windows事件查看器中,你可以通过以下步骤查看:
1. 打开事件查看器
-
方法一 :按
Win + R键打开"运行"窗口,输入eventvwr.msc并回车。 -
方法二:右键点击"此电脑"选择"管理",在左侧找到"系统工具" -> "事件查看器"。
2. 定位关机日志
关机相关的日志主要分布在两个地方:
-
系统日志:
-
路径:
Windows 日志->系统。 -
筛选方法:点击右侧的"筛选当前日志",在"事件来源"中选择
User32,或者在"所有事件ID"中输入1074(正常关机/重启)或6006(系统正常关闭)。
-
-
安全日志:
-
路径:
Windows 日志->安全。 -
筛选方法:在"所有事件ID"中输入
4647(用户发起注销)。
-
3. 解读关键事件ID
-
1074:记录了关机/重启的发起者(用户或进程)以及原因。
-
6006:表示系统已正常关闭。
-
6008:表示系统上次未正常关闭(异常断电或蓝屏)。
4. 导出日志
如果需要保存或分析,可以右键点击日志列表,选择"将事件另存为"导出为 .evtx文件。