Можно ли узнать, когда включался мой компьютер, и кто за ним работал?

Подскажите, можно ли как-то узнать включали-ли мой компьютер, и если да — то кто это сделал? Я просто никак не могу найти определенные файлы, как будто их кто-то удалил.

Узнать когда включался компьютер достаточно просто (если, конечно, эти данные не были умышленно стерты). Что касается непосредственно лица, которое это сделало — то здесь все достаточно сложно (вряд ли это вам удастся, если, конечно, вы предварительно не настроили защиту устройства, чтобы оно автоматически снимало всех на веб-камеру, кто садится поработать за него; либо у вас в комнате не установлено видеонаблюдение ✌).

В общем, в этой заметке постараюсь разобрать ваш вопрос. Кстати, чтобы такого не повторилось впредь, рекомендую делать бэкапы важных файлов, и установить пароль для доступа к ПК (ссылки ниже в помощь).

Когда включался компьютер

Windows не была бы такой популярной системой, если бы не имела в своем арсенале десятки различных полезных инструментов. Речь сейчас идет о журнале событий, в который заносится:

• информация о том, когда включался компьютер и запускалась ОС;
• возникшие ошибки;
• предупреждения, уведомления, и пр.

Чтобы просмотреть эти записи, нам нужно сначала открыть этот журнал событий . Для этого нажмите сочетание кнопок Win+R , введите команду eventvwr и нажмите OK.

eventvwr — команда для вызова журнала событий

В журнале событий будут отображаться десятки тысяч самых разных уведомлений. Среди них нам нужно оставить только нужные. Для этого кликните по инструменту «Фильтр текущего журнала» . См. пример ниже.

Система — фильтр текущего журнала (оставим только нужные события) /Кликабельно

Далее укажите определенные коды событий: 1, 42, 107, 12, 13 (они отвечают за включение компьютера и выхода его из режима сна) и нажмите OK. Пример на скриншоте ниже.

Примечание: из десятка тысяч событий мы оставляем только те, которые фиксируют определенные действия.

Оставляем определенные коды событий (включения ПК и выхода из режима сна)

После, найдите событие для нужной вам даты и выберите его: в примечании будет отображено что-происходило с ПК (например, система возобновила работу после режима сна) . Обратите внимание, что в подробностях также указывается и точное время события.

Система возобновила работу после режима сна

Таким образом, прошерстив события нужной вам даты — можно узнать, когда включался компьютер и сверить эти данные со своим графиком.

Время запуска ОС / Т.е. компьютер был включен

Что касается того, как узнать кто работал за вашим ПК.

Я бы порекомендовал установить на свой компьютер одну из программ для контроля сотрудников (например, Clever Control) . Она может записывать все действия, происходящие на компьютере в спец. журнал, контролировать рабочее время, создавать снимки с веб-камеры, и многое другое.

Суть здесь в чем : вы ставите эту программу на свой компьютер (т.е. сами же себя будите контролировать). Далее включаете нужные опции и работаете. Когда появились какие-то подозрения: просто посмотрите статистику программы контроля. Таким образом, сможете узнать наверняка, кто это был за вашим рабочим местом, пока вы отсутствовали.

Clever Control — одна из программ для контроля сотрудников / Кликабельно

Впрочем, подобный софт хорош и тем, что позволяет получать подробную статистику по характеру работы за ПК. Например, можно узнать, в каких программах вы больше всего проводите времени, в какое время работает ПК, какие кнопки нажимаются и т.д. (много весьма любопытной статистики) .

Офисметрика: график использования тех или иных программ (аналог предыдущей программы)

Дополнения всегда приветствуются.

Как узнать, когда в последний раз включался компьютер

Способы узнать, когда включался компьютер

Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.

Способ 1: Командная строка

Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:

1. Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду cmd .
   
2. Ввести в строке команду systeminfo .
   

Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».

Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.

Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.

Способ 2: Журнал событий

Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:

1. Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
   
   Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
   
2. В окне управления перейти к журналам Виндовс в «Система».
   
3. В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
   
4. В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
   

В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.

Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.

Способ 3: Локальные групповые политики

Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:

1. В строке запуска программ набрать команду gpedit.msc .
   
2. После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
   
3. Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
   
4. Установить значение параметра в позицию «Включено».
   

В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:

Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.

Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.

Способ 4: Реестр

В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.

Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:

1. Открыть реестр, введя в строке запуска программ команду regedit .
   
2. Перейти к разделу
   HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
3. С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
   
   Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows.
4. Присвоить созданному элементу название DisplayLastLogonInfo.
   
5. Открыть вновь созданный элемент и установить его значение равным единице.
   

Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.

Способ 5: TurnedOnTimesView

Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.

Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.

По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.

Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.

Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →