系统日志是可以看到电脑启动时间的, 找到event id 12。
日志中能够看到 系统是正常开关机0x0、或是从混合关机中启动、从休眠中启动,event id 27 记录这一条
分别对应了0x0 0x1 0x2,Windows 7 是没有混合关机的。
从event id 6005 (系统日志服务开启),往后,记录着 系统日志服务关闭到开启 这段时间中发生的事情。
系统日志服务关闭后,电脑还在关机,电脑将这些log 放在电脑硬盘或内存的某个地方,直到开机,等系统日志服务开启后,再把这部分log写入事件查看器。
所以你可以观察event id 6005之后的日志。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
