Windows 11怎么查看电脑开关机记录_Windows 11事件查看器筛选系统日志

可通过事件查看器系统日志中事件ID 6005（开机）、6006（正常关机）、6008（意外断电）、1074（重启/关机）精准定位Windows 11设备开关机时间，支持图形界面筛选、PowerShell批量导出、Winlogon来源过滤、计算机管理集成访问及开始菜单快捷启动五种方法。

如果您需要确认Windows 11设备的开机、关机、重启或意外断电时间，则可通过事件查看器中系统日志的特定事件ID进行精准定位。以下是多种可行的操作路径与筛选方法：

一、通过事件ID筛选开关机核心事件

事件查看器为不同系统状态分配了唯一事件ID，其中6005、6006、6008和1074分别对应开机、正常关机、意外断电及用户/程序触发的重启或关机。一次性筛选这些ID可集中呈现全部开关机行为记录。

1、按下Win + R组合键，打开“运行”对话框。

2、输入eventvwr.msc并按回车，启动事件查看器。

3、在左侧导航栏中，依次展开Windows 日志 → 系统。

4、在右侧操作面板中，点击筛选当前日志。

5、在弹出窗口的“事件ID”文本框中，输入6005,6006,6008,1074（英文逗号分隔）。

6、点击确定，列表将仅显示这四类关键事件，每条记录均包含精确时间戳与触发来源。

二、使用PowerShell批量查询并导出开关机日志

PowerShell支持结构化查询与时间排序，适用于需快速获取近期完整记录或生成文本报告的场景，无需手动翻页即可获得倒序排列的结果。

1、右键点击“开始”按钮，选择终端（管理员）。

2、执行以下命令以列出最近所有匹配的开关机事件：
Get-WinEvent -LogName System | Where-Object {$_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074} | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

3、如需保存为文本文件，追加输出重定向命令：
Out-File "C:\开关机记录.txt"

三、通过Winlogon事件来源筛选用户级开关机行为

winlogon进程负责处理登录会话生命周期，其产生的日志可反映用户交互式开关机动作，补充系统服务级事件的视角，尤其适用于判断实际人工操作时段。

1、在事件查看器中进入Windows 日志 → 系统。

2、右侧点击筛选当前日志。

标签： 开关机记录 go windows 计算机 电脑 工具 win windows 11 点击事件 排列