Mit der Windows PowerShell lassen sich sämtliche Systemereignisse der Ereignisanzeige dokumentieren. Das ermöglicht eine schnelle Kontrolle und kann auch zu für spätere Nachweise eingesetzt werden. Der Artikel soll Dir beispielhaft zeigen, wie sich die letzten Neustarts eines Computers ermitteln lassen. Das vorgestellte Skript lässt sich auf alle Windows Ereignisse einstellen.



Systemereignisse mit PowerShell dokumentieren

Wird ein Computer heruntergefahren, wird dies im Windows Ereignisprotokoll eingetragen:

„Das Betriebssystem wurde zur Systemzeit xyz heruntergefahren“ / Ereignis-ID 13

Das Ereignisprotokoll können wir mit der Windows PowerShell auf bestimmte Ereignis-IDs durchsuchen. Hierzu verwenden wir das CMDLet „Get-EventLog„. Mit diesem Befehl kann direkt auf die verschiedenen Protokolle zugegriffen werden.

Möchte ich nun die letzten zehn Zeitpunkte herausfinden, an denen mein Computer heruntergefahren wurde, muss ich lediglich den folgenden Befehl absetzen:

Das Ergebnis wird in einer übersichtlichen Tabelle ausgegeben und man kann sofort Rückschlüsse anhand der gewonnenen Informationen schließen.

Wann wurde der Computer heruntergefahren

Übersichtliche Ausgabe der letzten Shutdowns des Rechners.

Wann wurde der Rechner die letzten Male gestartet

Das Ganze lässt sich natürlich auch für den Systemstart anwenden. Die zugehörige ID 12 besagt laut EventLog „Das Betriebssystem wurde zur Systemzeit xyz gestartet„. In der PowerShell muss daher nur die ID ausgetauscht werden und schon erhalten wir eine Übersicht der letzten Systemstarts.

Letzte Neustarts eines Computers ermitteln

Mit der PowerShell lassen sich schnell die letzten Neustarts eines Computers ermitteln.

Das Ereignisprotokoll kann mit diesem Befehl auf jedes beliebige Ereignis durchsucht werden. Der Befehl kann beispielsweise in automatisierte Skripte oder in das Monitoring eingebaut werden.

Weitere nützliche PowerShell-Skripte:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

2 Kommentare
  1. Dante sagte:

    Hallo,

    ich habe von Windows 7 auf Windosw 10 geupdated.
    Besteht eine Möglichkeit das Ereignisprotokoll aus der Zeit vor dem Update abzurufen?
    Ich möchte lediglich feststellen, ob an einem bestimmten Datum der PC gestartet wurde.

    Ich würde mich wirklich sehr über eine Antwort freuen, da es sehr wichtig für mich ist.

    Viele Grüße,

    Dante

    Antworten
    • René Albarus sagte:

      Hallo Dante,

      ich könnte mir vorstellen, dass Du im Verzeichnis C:\Windows.old noch fündig wirst. Dort müssten die .evt Dateien noch im Unterverzeichniserzeichnis system32\config liegen.

      Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.