1. Accesso al visualizzatore di eventi:
* Metodo 1 (ricerca): Digita "Event Viewer" nella barra di ricerca di Windows (accanto al pulsante di avvio) e premere Invio.
* Metodo 2 (pannello di controllo): Apri il pannello di controllo (cercalo o fai clic con il pulsante destro del mouse sul pulsante di avvio), vai su "Sistema e sicurezza", quindi "Strumenti amministrativi", e quindi fai doppio clic su "Visualizzatore di eventi".
2. Trovare eventi di arresto/startup:
* Log di Windows: Nella finestra del visualizzatore di eventi, nel riquadro sinistro, espandi i "registri di Windows".
* Sistema: Fai clic su "Sistema". Questo registro contiene eventi a livello di sistema, inclusi avvio, arresto ed eventi relativi all'hardware.
3. Filtro eventi (importante! Ci sono molti eventi nel registro del sistema):
* Registro corrente del filtro ...: Nel riquadro destro, fare clic su "Filtro corrente corrente ...". Questo aprirà la finestra "Filtro corrente corrente".
* ID eventi: Utilizzare questi ID eventi per filtrare per spese specifiche e eventi di avvio:
* 6005: Il servizio di registro degli eventi è stato avviato. Questo di solito significa un avvio/avvio (anche se * può * significare anche solo il servizio di registro degli eventi riavviati).
* 6006: Il servizio di registro degli eventi è stato interrotto. Questo di solito indica un adeguato arresto.
* 6008: Si è verificato un arresto inaspettato. Ciò è utile per trovare arresti anomali o interruzioni che non hanno permesso a Windows di spegnere in modo pulito.
* 41: Kernel-Power. Un evento critico che indica il sistema riavviato senza un arresto pulito. Spesso correlato alla perdita di potere o a un incidente. (Guarda il dettaglio "BugCheckCode" nella scheda Dettagli per informazioni più specifiche di crash.)
* 1074: Registrato quando un'applicazione provoca il riavvio o l'arresto del sistema (ad es. Windows Update). La voce del registro di solito conterrà il nome dell'applicazione che ha avviato l'arresto o il riavvio.
* Applicazione del filtro:
1. Nella finestra "Filtro corrente corrente", nel campo "ID eventi", immettere gli ID eventi che si desidera trovare (ad esempio, `6005.6006.6008,41.1074`). Separare più ID con virgole.
2. Fare clic su "OK".
4. Revisione dei registri filtrati:
Il riquadro principale di Event Viewer mostrerà solo eventi che corrispondono al tuo filtro. Guarda la colonna "Data e ora" per vedere quando si sono verificati gli eventi.
* Interpretazione dei risultati:
* 6005 seguito da 6006: Questa sequenza indica un normale ciclo di avvio e arresto. I timestamp ti diranno la durata.
* 6008 o 41: Questi eventi suggeriscono un arresto anormale (incidente, insufficienza di corrente). Esamina altri eventi nello stesso periodo per gli indizi. I 41 eventi hanno spesso un `BugCheckCode` nella scheda Dettagli, che indica il motivo di arresto anomalo.
* 1074: Controllare la scheda Dettagli per l'applicazione che ha richiesto il riavvio o l'arresto.
5. Trovare tempo inattivo:
Questo è più complesso e meno affidabile usando gli eventi. Il tempo inattivo non viene registrato direttamente come evento specifico. Dovrai dedurre che in base all'assenza di altri eventi e alla presenza dell'attività dell'utente (che non è anche direttamente registrata in tutti i casi).
* Registro di sicurezza (potenzialmente): Il registro `Security` potrebbe * contenere eventi di accesso e logoff (ID evento 4624 per l'accesso, 4634 per il logoff), se l'auditing è abilitato. Se si vede un evento di logoff, seguito da un periodo significativo senza altri eventi, che * potrebbe * indicare il tempo inattivo, specialmente se il computer è impostato per bloccare dopo un determinato periodo inattivo. Tuttavia, questo non è un metodo garantito.
* Log di sistema (indirettamente): Cerca periodi nel registro `System` in cui ci sono * pochissimi * eventi relativi all'attività dell'utente o ai processi di applicazione. Questo è altamente soggettivo e incline all'errore. È difficile distinguere tra vera ozio e processi di fondo che funziona in silenzio.
Considerazioni importanti per il tempo inattivo:
* Requisiti di revisione: Potrebbe essere necessario abilitare l'auditing degli eventi di accesso/logoff nella politica di sicurezza locale affinché il registro `Security` sia utile. Questo può aumentare la dimensione del registro. (Cerca "Politica di sicurezza locale" nel menu Start). Passare a `Impostazioni di sicurezza -> Politiche locali -> Politica di audit`. Abilita "Audit Logon Events" e "Audit Logoff Events" (sia successo che fallimento).
* Configurazione del sistema: L'affidabilità dell'utilizzo di Event Viewer per il tempo inattivo dipende in modo significativo da come è configurato il sistema. Se ci sono molti compiti di fondo o processi programmati, sarà più difficile identificare periodi di autentica inattività degli utenti.
* Impostazioni di gestione dell'alimentazione: Windows Power Management Impostazioni (Sleep, Hibernate) può complicare le questioni. Un periodo di inattività potrebbe portare al sistema ad entrare in uno stato di sonno, che potrebbe essere registrato, ma non significa necessariamente che l'utente fosse assente.
* Strumenti di terze parti: Per un monitoraggio più accurato del tempo inattivo, prendere in considerazione l'utilizzo di strumenti di monitoraggio di terze parti. Questi strumenti sono specificamente progettati per tracciare l'attività e l'inattività degli utenti e spesso forniscono report più dettagliati. Tuttavia, incorreranno un compromesso sulla privacy.
Scenario di esempio:
Diciamo che vedi i seguenti eventi nel registro `System` (dopo il filtro per IDS 6005, 6006, 6008, 41, 1074):
* 08:00: ID evento 6005 (Servizio di registro eventi avviato) - Probabilmente un avvio.
* 05:00 PM: ID evento 6006 (servizio di registro degli eventi interrotti) - probabilmente un normale arresto.
Ciò suggerisce che il computer è stato acceso e in uso (almeno a intermittenza) tra le 8:00 e le 17:00. Se vuoi sapere se è stato inattivo per qualsiasi momento durante quelle 9 ore, dovresti esaminare gli eventi * tra * quei due eventi e tentare di dedurre l'attività dagli eventi registrati. Come spiegato sopra, è difficile e inaffidabile.
In sintesi:
* Utilizza eventi Visualizzatore per trovare facilmente arresti e startup.
* Sii * molto * cauto nel fare affidamento su Event Viewer per un accurato monitoraggio del tempo inattivo. Gli strumenti di terze parti sono generalmente più adatti a questo scopo.
Domanda © www.354353.com