windows系统日志怎么看

记录开机时间,看谁动了你的电脑2008-10-01 08:27经常感觉到自己的计算机突然就不太好用了，总怀疑别人在自己离开的时候，启动了电脑，并“祸害”一顿然后关机走人(旁白：设置一个口令就能解决，但都是乡里乡亲的，不太好意思，全靠自觉吧!)。如果能知道自己电脑的开关机记录，那不就一清二楚了吗？下面我介绍两种方法，不用任何工具，一切手动完成，一般人我不告诉他哦！

一天记录轻松看

如果你只是想查看一下，从昨天关机到今天开机之间有没有人使用我的计算机，那么使用“查日志”的方法就可以了。在“开始”菜单的运行”中输入“eventvwr.msc”，打开事件查看器，在左侧窗口中选择“系统”，从右侧系统事件中查找事件ID为6005、6006的事件（事件ID号为6005的事件表示事件日志服务已启动，即开机，同理事件ID：6006表示关机），它们对应的时间就分别是开机时间和关机时间

如果你觉得从这么多事件中找开关机事件太费事，你可以使用“筛选”来使内容简洁。在事件查看器的“查看”菜单中选择“筛选”选项，在属性对话框中选择“筛选器”选项卡，并在其中勾选“信息”、“警告”、“错误”三项，在“事件来源”下拉列表中选择“eventlog”，单击“确定”按钮后，系统事件中的内容就少了很多，我们可以轻易找到最近的开关机时间。

如果你依旧觉得太费事，那只好使用必杀技了。在“开始”菜单中的“运行”中输入“C:/WINDOWS/schedlgu.txt”，在打开的schedlgu.txt文件中有“任务计划程序服务”已启动于和“任务计划程序服务”已退出于的时间，分别对应着开机和关机时间，是不是很方便呢？

天天备案也不难

如果你想每一次开关机都能清楚地记录在案，那可以用“脚本+批处理”的方法。不过你要亲自动手了，我们使用“脚本+批处理”的方式来实现。只需在开机、关机脚本上添加两个记录时间的批处理命令，让它们随系统启动或关闭记录当时的时间到C:/aaa.txt文件中。

首先新建两个文本文档，分别用来记录开机和关机信息，输入以下的命令，然后另存为“.bat”文件就可以了。其中开机批处理（start.bat）如下：

@echo off

>>c:/aaa.txt echo ***开机记录***

>>c:/aaa.txt echo.

>>c:/aaa.txt echo %date% %time:~0,-3% %username%

>>c:/aaa.txt echo.

>>c:/aaa.txt echo **************

>>c:/aaa.txt echo.

>>c:/aaa.txt echo.

而关机批处理(shutdown.bat)命令只要把start.bat中的“***开机记录***”改为“***关机记录***”即可，其余不变。将上面的两个批处理命令做好后，在“开始”菜单中的“运行”中输入gpedit.msc，打开组策略，依次找到“计算机配置→windows设置→脚本(启动和关机)”，双击“启动”，在属性对话框中单击“添加”按钮，并在“脚本名”一栏中填入“start.bat”的绝对路径，单击“确定”按钮（如图2）。同理设置好关机脚本。这样可以了，开关机做个实验，打开C:/aaa.txt文件，是不是记录了你刚才的关机和开机时间呢？